Radboud kraakt chip toegangspas
NIJMEGEN - De Radboud Universiteit Nijmegen heeft de chip gekraakt die wordt gebruikt op miljoenen toegangspassen voor overheidsgebouwen, militaire terreinen en bedrijven.
Hackers kunnen in korte tijd de chip ’afluisteren’ en kopiëren. Een hacker neemt bijvoorbeeld plaats naast een ambtenaar in de trein. Met een laptop ontfutselt hij de chipgeheimen op het pasje van zijn buurman en kopieert die in enkele uren tijd naar een lege chipkaart. Hiermee kan de hacker zich onder de naam van de ambtenaar toegang verschaffen tot beveiligde gebouwen.De Nijmeegse universiteit toonde woensdag aan hoe eenvoudig de beveiliging van de zogenaamde Mifare Classic RFID-kaart van producent NXP (voorheen Philips Semiconductors) is te kraken. Wereldwijd zijn ongeveer 1 miljard passen in omloop.
Volgens hoogleraar computerbeveiliging Bart Jacobs is er sprake van „een acuut veiligheidsprobleem.” De publicatie van het onderzoek met de details is om die reden voorlopig opgeschort. De onderzoeksleiders en studenten communiceren voortaan in het diepste geheim. Prof. Jacobs is „geschrokken” van de kwetsbaarheid van de kaart, maar zei dat de chip en de bijbehorende techniek al ruim tien oud jaar zijn.
De universiteit heeft vrijdag minister Ter Horst van Binnenlandse Zaken geïnformeerd. Zaterdag heeft ze direct medewerkers van de inlichtingendienst AIVD naar Nijmegen gestuurd, die hebben vastgesteld dat de methode werkt. Zondag is producent NXP gewaarschuwd. Het kraken van de beveiliging van miljoenen toegangspassen maken het probleem van de OV-chipkaart tot een bijzaak, aldus Jacobs woensdag.
Hackers zouden in principe behalve identificatiegegevens op toegangspassen van het Mifare Classictype ook financiële tegoeden of andere privégegevens kunnen kopiëren, indien die aan toegangspassen zijn toegevoegd. Op dit moment is nog niet helemaal duidelijk wat er allemaal te kopiëren is. De Radboud doet verder onderzoek.
De beter beveiligde OV-chipkaart zijn volgens een woordvoerder van Trans Link Systems met de Radboudmethode niet te kraken. Volgens TLS, verantwoordelijk voor de chipkaart, zijn tegoeden van toegangspassen alleen te verwijderen, maar niet te kopiëren naar een andere pas.
Donderdag zou de Tweede Kamer zich opnieuw buigen over de problemen met de OV-chipkaart.
