Een recent ontdekte hardware backdoor in Mifare chips, die momenteel wordt gebruikt in de Nederlandse OV-chipkaart, kan ernstige gevolgen hebben voor de veiligheid van ons openbaar vervoer. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om binnen enkele minuten alle gebruikerssleutels te compromitteren, wat kan leiden tot ongeautoriseerde toegang en kaartkloning. Gezien het wijdverbreide gebruik van dit soort chips in OV, gebouwbeheer, hotels en dergelijke is dit een direct probleem. Ook is het niet duidelijk of alle uitgegeven Nedelandse OV Chipkaarten veilig zijn.
Wat is de hardware backdoor?
De hardware backdoor werd ontdekt in de FM11RF08S-chip, een Mifare-compatibele chip geproduceerd door Shanghai Fudan Microelectronics. Onderzoekers van Quarkslab onthulden dat deze backdoor aanvallers in staat stelt om binnen enkele minuten de gebruiker gedefinieerde sleutels van de kaart te compromitteren. De backdoor is een universele sleutel die werkt ongeacht de waarden van keyA en keyB, wat betekent dat alle sectoren van de kaart toegankelijk worden zodra de backdoor key is gebruikt.
Impact op de Nederlandse OV-chipkaart
De Nederlandse OV-chipkaart maakt momenteel gebruik van de Infineon SLE-66 chip, die volgens sommige rapporten mogelijk kwetsbaar is voor soortgelijke aanvallen. Hoewel de meeste hacks zijn gerelateerd aan Chinese Mifare-compatibele chips, zijn er zorgen dat ook bepaalde Infineon-chips kwetsbaar kunnen zijn. Translink, het bedrijf achter de ontwikkeling van het OV-chipkaartsysteem, liet in een schriftelijke verklaring aan Innovation Origins weten op de hoogte te zijn van de inbreuk en dat de Nederlandse vervoerskaarten veilig zijn.
Potentiële gevolgen
Indien de backdoor in de Nederlandse OV-chipkaart kan worden geëxploiteerd, zou dit leiden tot ongeautoriseerde toegang tot het openbaar vervoer en mogelijk tot kloning van kaarten. Dit zou niet alleen financiële verliezen veroorzaken voor vervoersbedrijven, maar ook ernstige veiligheidsproblemen voor reizigers met zich meebrengen. Het risico dat kwaadwillenden toegang krijgen tot gevoelige locaties door gekloonde kaarten is een reëel en urgent probleem.
Wat moet er nu gebeuren?
Gezien de potentiële impact van deze kwetsbaarheid, moeten vervoersbedrijven en de verantwoordelijke autoriteiten onmiddellijk maatregelen nemen. Het is cruciaal om te onderzoeken welke kaarten kwetsbaar zijn en eventueel over te stappen op een veiliger alternatief. De invoering van een nieuwe chip, zoals de Infineon SLE-66R35 met verbeterde veiligheidskenmerken, kan een oplossing bieden. Echter, een dergelijke migratie zal tijd en investeringen vergen.
Conclusie
De ontdekking van de hardware backdoor in Mifare-compatibele chips werpt een schaduw over de veiligheid van de Nederlandse OV-chipkaart. Met de potentiële risico’s voor zowel financiële als fysieke veiligheid, is het van vitaal belang dat er snel en effectief wordt gereageerd. Consumenten en bedrijven moeten zich bewust zijn van deze kwetsbaarheid en de benodigde stappen ondernemen om hun infrastructuur te beschermen.