Zwipe

Betalingskort med fingeravtrykksleser er kanskje ikke så sikkert som man skulle tro.

© Shutterstock

4 enkle trinn: Så lett hackes nytt og "sikkert" betalingskort

Betalingskort med innebygde fingeravtrykkslesere er allerede i bruk flere steder. Nå viser det seg at det er forbausende lett å lure de smarte kortene.

22. august 2018 av Niklas Ernst

Du har sikkert sett eller hørt om kontantløse betalingskort. Kort som du holder over terminalen og så skjer betalingen trådløst inntil en viss beløpsgrense. Når du kommer over den, må du bruke den tradisjonelle pinkoden.

Men ville det ikke vært smart om kortet hadde en fingeravtrykksleser slik som telefoner, slik at du slapp å taste inn pinkoden?

Eller kanskje ikke … 

I en ny studie har nemlig tyske forskere sett nærmere på de nye kortene med fingeravtrykksleser, som det norske selskapet Zwipe står bak. Det skriver digi.no.

Les også: MasterCard og Zwipe klar med fingeravtrykksleser

Brukte en enkel metode

Forskerne klarte å lure fingeravtrykksleseren ved å ta et bildet av et fingeravtrykk med en telefon, "rense" det i et dataprogram, og deretter skrive det ut og bruke det med betalingskortet. 

Zwipe Mastercard

I rapporten viser forskerne prosessen. 

Billede 1 fra venstre: Objekt med ubehandlet fingeravtrykk. 

Billede 2: Fingeravtrykk renset for andre elementer. 

Billede 3: Bildet i gråtoner og fargene invertert. 

Billede 4: En del av fingeravtrykket. 

© Security in Telecommunications - Technische Universitat Berlin

Det er et sikkerhetsnivå som slett ikke godt nok, ifølge sikkerhetsekspert Per Thorsheim.

"Det er så banalt og dumt at det ikke burde vært mulig", sier eksperten til digi.no. 

Selv sier forskerne dette: 

"Vi vil gjerne påpeke kritiske svakheter i kortets arkitektur og algoritme, og vise hvordan det kan misbrukes til betalinger, uautorisert tilgang og identitetstyveri av dem som klarer å stjele eller klone enheten."

Selskapet bak avviser kritikken

Selskapet bak teknologien, Zwipe, avviser kritikken fra forskere og sikkerhetseksperter.

Ifølge selskapets pressekontakt, Ado Fazlic, er angrepsmetoden utdatert og vil ikke virke på de nyeste produktene fra Zwipe.

"Vi kjenner til rapporten og kan avvise at disse metodene virker på den nåværende teknologien", sier Ado Fazlic til digi.no, og poengterer samtidig at ingen løsninger er hundre prosent sikre mot hackerangrep.

Rådet fra sikkerhetsekspert Per Thorsheim er at man fremdeles bør ha passord eller pinkoder til kortene sine, og holde disse hemmelige for å unngå misbruk og hacking.

Oppdatert 28-08-2018:

Ifølge forskerne bak rapporten skulle den testede teknologien bak fingeravtrykksleseren på et tidspunkt ha blitt brukt i betalingskort fra Mastercard, noe som også fremgikk av artikkelen.  Mastercard avviser imidlertid dette overfor Komputer for alle, og viser til at selskapet vil bruke en annen teknologi til kortene sine.


Du kan få et sikkert passord samt hjelp til å huske dem med programmet LastPass, som du finner i Fordelssonen (kun for abonnenter),

Akkurat nå får du en utgave av Komputer for alle og full tilgang til Fordelssonen for kun kroner 29,–. Se tilbudet her.

Kanskje du er interessert i...