Il team ha scoperto che collegando un piccolo dispositivo chiamato "glitcher" al bancomat, i criminali potrebbero manipolare il protocollo crittografico utilizzato da chip e PIN per proteggere i numeri PIN.
Questa vulnerabilità potrebbe consentire ai criminali di rubare denaro dai conti bancari delle vittime inducendo il bancomat a credere che un PIN autentico sia in realtà un PIN diverso, di valore superiore.
I ricercatori hanno sviluppato una patch che potrebbe risolvere la vulnerabilità e stanno lavorando con la UK Cards Association (UKCA) per garantire che tutti i terminali con chip e PIN del Regno Unito vengano patchati il prima possibile.
Il professor Steve Fehler del Laboratorio informatico dell'Università di Cambridge, che ha guidato la ricerca, ha dichiarato:"Si tratta di una grave vulnerabilità che potrebbe consentire ai criminali di rubare denaro dai conti bancari delle persone. Stiamo lavorando con la UK Cards Association per garantire che tutti i I terminali con chip e PIN verranno aggiornati il prima possibile."
I ricercatori hanno pubblicato un documento che descrive i loro risultati, che sarà presentato al Simposio sulla sicurezza USENIX in agosto.
Ecco una spiegazione più dettagliata di come funziona l'attacco:
* Quando si inserisce una carta con chip e PIN in un bancomat, il bancomat invia un messaggio alla carta chiedendone il PIN.
* La carta poi crittografa il PIN utilizzando un protocollo crittografico chiamato DES (Data Encryption Standard) e lo rinvia al bancomat.
* Il bancomat decodifica il PIN utilizzando lo stesso protocollo crittografico e lo confronta con il PIN memorizzato sulla carta.
* Se il PIN è corretto il bancomat autorizza la transazione.
I ricercatori hanno scoperto che attaccando un "glitcher" al bancomat, potevano manipolare il protocollo crittografico in modo che quando viene inserito un PIN autentico sembri che sia stato inserito un PIN di valore superiore.
Ad esempio, se il PIN autentico fosse 1234, il glitcher potrebbe alterarlo in modo che il bancomat "veda" un valore PIN di 9876. Ciò consentirebbe al criminale di prelevare £ 9876 invece di £ 1234 dal conto bancario della vittima.
I ricercatori hanno sviluppato una patch che potrebbe risolvere la vulnerabilità e stanno lavorando con la UK Cards Association per garantire che tutti i terminali con chip e PIN del Regno Unito vengano corretti il prima possibile.
Questa vulnerabilità ricorda che nessun sistema di sicurezza è completamente infallibile. Tuttavia, lavorando insieme, possiamo rendere il più difficile possibile il furto dei nostri soldi da parte dei criminali.
