Wyniki badań, zaprezentowane na sympozjum IEEE w maju ub.r., rzucają nowe światło na bezpieczeństwo czipowych kart płatniczych, wykorzystujących PIN (karty EMV). Karty te zawierają mikroukład, który weryfikuje poprawność PIN wprowadzonego w celu autoryzacji transakcji.

Banki europejskie uważają ten system za bardziej bezpieczny niż stosowane w Stanach Zjednoczonych karty bez mikroukładu, który ma chronić przed różnego rodzaju klonowaniem kart.

Naukowcy z Cambridge znaleźli jednak luki w skomplikowanym protokole EMV, które umożliwiają przeprowadzenie ataku typu man-in-the-middle. Pozwalają one oszukać terminal kasowy w taki sposób, iż uzna odbierany PIN za poprawny bez względu na to, jakie cyfry zostaną wprowadzone. Jest to sytuacja, w które karta zakłada, że transakcja została autoryzowana podpisem. W niektórych przypadkach terminal kasowy mający kłopoty z połączeniem z bankiem wydającym karty dopuszcza transakcję potwierdzaną podpisem.

Do przeprowadzenie ataku potrzebna jest specjalistyczna wiedza o systemie "chip-and-PIN" i dodatkowy osprzęt zewnętrzny. W programie pokazanym w ubiegłym tygodniu przez telewizję BBC zademonstrowano atak z wykorzystaniem kart debetowych i kredytowych znanych banków. Transakcja została autoryzowana po wprowadzenie niepoprawnego PIN (składającego się z samych zer).

Naukowcy z Cambridge już wcześniej bardzo krytycznie wypowiadali się o kartach czipowych, wskazując na wiele technicznych problemów z ich specyfikacją i krytykując brak przejrzystych zasad, według których je projektowano.

Twierdzą oni, że problemy związane są z faktem, iż banki dążą do utrzymania odpowiedzialności swoich klientów za straty wynikłe z transakcji, w których użyty był PIN nawet wtedy, jeżeli klient twierdzi, że nikt inny go nie znał.

Jak dotychczas banki odmawiają pokrycia strat ofiarom przestępstw, ponieważ sztywno zakładają, iż karta nie może być wykorzystana bez znajomości poprawnego PIN.

Na świecie używanych jest 730 milionów kart z mikroukładem, potwierdzanych PIN. Karty te stosowane są w większości krajów europejskich i zaczynają być wprowadzane w Kanadzie, a ich wprowadzenie dyskutowane jest także w Stanach Zjednoczonych.