Android-app kloont Amerikaanse OV-chipkaart

Security-onderzoekers van Intrepidus hebben op het Pwn2Own-hackerscongres in Amsterdam een hack laten zien die OV-chipfraude simpeler dan ooit maakt, door middel van een kant en klare Android-app op een NFC-telefoon, meldt de IDG News Service.

Supersimpel

De werking is basaal: de app leest de gegevens uit de chip en kan ze later weer terugzetten als het saldo op is. Op deze manier kunnen reizigers in de metro van San Francisco en New Jersey onbeperkt blijven reizen met een tienrittenkaart.

Het gaat om de goedkoopste en simpelste Mifare-variant, de Ultralight, die geen enkele beveiliging heeft. Wel is het mogelijk om met zogenaamde lock bits en een one time programmable counter (OTP) fraude te voorkomen. Het lijkt er echter op dat de OV-chipsystemen die Intrepidus heeft getest geen gebruik maken van lock bits, constateert Roel Verdult, security-onderzoeker van de Radboud Universiteit, in een reactie aan Webwereld.

Nederlandse OV-chips beveiligd

De UvA en de Radboud toonden in 2007 en 2008 al aan dat de Mifare Ultralight zoals die in Nederland wordt gebruikt kwetsbaar is, maar de tegenmaatregel relatief eenvoudig. Door het controleren van de lock bits door de NFC-lezer (de poortjes) kan deze fraude worden voorkomen.

Waarschijnlijk werkt de app van Intrepidus dus niet met wegwerpkaartjes van bijvoorbeeld het GVB, de onderzoekers hebben dit echter niet getest. Webwereld heeft vragen bij Translink Systems uitstaan over het gebruik van de Mifare Ultralight. Intrepidus was niet direct bereikbaar voor commentaar op hun hack.

UPDATE: de onderzoekers hebben een testvariant van de UltraReset app vrijgegeven. Hiermee kan geen data worden overschreven, wel kan getest worden of een OV-chipkaart kwetsbaar is, bijvoorbeeld door het ontbreken van lock bits en OTP counter. Het apk-bestand is hier te downloaden.

Bron: Webwereld.nl