Zwipe betalkort

Betalkort med fingeravtrycksläsare är kanske inte så säkert som man skulle kunna tro.

© Shutterstock

4 enkla steg: Så lätt hackas nya betalkortet

Betalkort med inbyggd fingeravtrycksläsare finns redan på många platser. Nu visar det sig att det är förvånansvärt enkelt att lura det smarta kortet.

22 augusti 2018 av Niklas Ernst

Du har kanske redan stiftat bekantskap med det trådlösa betalkortet som du bara håller mot terminalen för att genomföra en betalning. När summan överstigen en viss gräns, behöver du trycka in din kod.

Men vore det inte smart om kortet hade fingeravtrycksläsare, precis som många smartmobiler, så att du inte behövde trycka in koden?

Det ska du inte vara så säker på.

Tyska forskare har i en ny studie undersökt det nya betalkortet med inbyggd fingeravtrycksläsare, som har utvecklats av det norska företaget Zwip. Detta enligt norska digi.no.

Använde en enkel metod

Forskarna kunde lura fingeravtrycksläsaren genom att med en mobiltelefon fotografera ett fingeravtryck, städa bilden i ett bildbehandlingsprogram, skriva ut bilden och sedan använda utskriften för att lura betalkortet.

Zwipe betalkort

I rapporten redovisar forskarna hur de gjorde. 

Bild 1 från vänster: Föremål med obehandlat fingeravtryck. 

Bild 2: Foto av fingeravtryck som städats med ett bildbehandlingsprogram. 

Bild 3: Bilden sparad i gråskala med inverterade färger. 

Bild 4: En beskuren version av fingeravtrycket.

© Security in Telecommunications - Technische Universitat Berlin

Det är en säkerhetsnivå som inte på något sätt är godkänd enligt säkerhetsexperten Per Thorsheim.

“Det är så banalt och dumt att det inte borde vara möjligt,” säger han till digi.no. 

Forskarna lämnar följande omdöme i rapporten: 

"Vi vill gärna peka på de kritiska svagheter i kortets arkitektur och algoritm, och visa hur dessa kan missbrukas vid betalningar, oauktoriserad tillgång och identitetsstöld av dem som kan stjäla och kopiera enheten." 

Läs också: Tre bluffsamtal du behöver känna till

Företaget tillbakavisar kritiken

Företaget bakom tekniken, Zwipe, avvisar forskarnas och säkerhetsexperternas kritik.

Enligt företagets presskontakt, Ado Fazlic, är angreppsmetoden föråldrad och kommer inte att fungera på Zwipes senaste produkter.

"Vi känner till rapporten och kan avfärda att de metoderna fungerar på den nuvarande tekniken," säger Ado Fazlic till digi.no och poängterar samtidigt att ingen lösning är hundraprocentigt säker mot angrepp från hackare.

Rådet från säkerhetsexperten Per Thorsheim är att man i så stor omfattning som möjligt bör ha ett lösenord eller PIN-kod på sina enheter, samt hålla koderna hemliga för att så effektivt som möjligt undvika missbruk och hackare.

Du kan få hjälp att både skapa och komma i håg säkra lösenord med programmet LastPass, som du kan hitta i Fördelszonen (enbart för tidningens läsare),

Just nu kan du få ett nummer av PC-tidningen samt full tillgång till hela Fördelszonen för bara 29 kronor. Läs om erbjudandet här.


Uppdaterat 28-08-2018

Enligt forskarna bakom rapporten skulle tekniken för fingeravtrycksläsningen i testet användas i betsalkort från Mastercard, vilket vi skrev i artikeln. I ett uttalande till PC-tidningen tillbakavisar Mastercard detta, och säger att företaget kommer att använda en annan teknik i sina kort.

Kanske är du intresserad av...