Onderzoekers mogen kraak van ov–chip publiceren
Onderzoekers van de Radboud Universiteit in Nijmegen mogen in een wetenschappelijk artikel toelichten hoe ze een belangrijke beveiligingschip hebben gekraakt. Dat heeft de rechtbank in Arnhem vrijdag geoordeeld. Chipfabrikant NXP wilde de publicatie met een kort geding voorkomen.
NXP vreest dat het wetenschappelijk artikel schade oplevert voor het bedrijf en de gebruikers van de chip, waarvan er wereldwijd ongeveer een miljard in omloop zijn gebracht. Het gaat om een chip die in Nederland onder meer wordt gebruikt voor toegangspassen van overheidsgebouwen en in het openbaar vervoer, in de OV–chipkaart.Een onderzoeksgroep van de Radboud Universiteit heeft aangetoond dat de chip te kraken is en kan worden nagemaakt. De rechter vindt dat de vrijheid van meningsuiting de onderzoekers het recht biedt hun conclusies te publiceren. De samenleving moet zich op de hoogte kunnen stellen van de manco’s die de chip blijkt te hebben, zodat ze maatregelen kan nemen tegen de risico’s van het veiligheidslek.
De rechtbank is niet overtuigd door het argument van NXP dat publicatie van de onderzoeksresultaten op korte termijn tot ernstige veiligheidsrisico’s kan leiden, omdat kwaadwillenden aan de haal zouden kunnen gaan met de wetenschappelijke informatie. Dat NXP bedrijfsschade dreigt te lijden, komt volgens de rechtbank niet doordat de onderzoeksgegevens openbaar worden, maar door de productie van een chip met gebreken. En dat is een verantwoordelijkheid van NXP zelf, aldus de rechtbank.
Directeur Fred Rausch van NXP Nederland noemt het jammer dat het artikel dit najaar mag verschijnen. Hij benadrukt dat NXP de publicatie uitsluitend wilde vertragen, zodat de fabrikant eerst de benodigde veiligheidsmaatregelen had kunnen nemen. „We willen voorkomen dat de chip op grote schaal wordt gekloond. Dat doen we om consumenten te beschermen". NXP heeft nog geen besluit genomen over een eventueel hoger beroep.
De kraak van de zogenoemde Mifare Classic Chip heeft tot veel ophef geleid, onder meer in de Tweede Kamer. Minister Ter Horst van Binnenlandse Zaken heeft deze week nog laten weten dat ze NXP niet aansprakelijk stelt voor de problemen die zijn ontstaan, bijvoorbeeld met de beveiliging van overheidsgebouwen. Ze acht de kans op een succesvolle schadeclaim gering en stelt bovendien dat de materiële schade tot nog toe beperkt is.