Onderzoekers aan de Radboud Universiteit hebben een zwakheid gevonden in de Mifare Classic-chip. Die chip wordt gebruikt voor toegangspassen voor bijvoorbeeld hotelkamers en in de ov-chipkaart. 

Door het lek is het mogelijk de versleuteling van de chip in enkele minuten te kraken. Zonder de kwetsbaarheid zou dit enkele weken duren.

Kwaadwillenden moeten dan de kaart fysiek in handen hebben en kunnen hem vervolgens eenvoudig kraken met een kaartlezer en specialistische software.

Eenmaal gekraakt kan de chip niet alleen worden uitgelezen, maar ook worden beschreven. Aanvallers kunnen dan bijvoorbeeld het saldo op een ov-chipkaart aanpassen, de locaties waarop is ingecheckt wijzigen, of de toegangscodes van een deurpasje kopiëren en zo zonder toestemming binnenkomen.

Voor het lek is geen oplossing beschikbaar. De enige bestrijding is het snel detecteren van fraude en de kaarten dan blokkeren.

Waarschuwing

De zwakheid werd ontdekt door de Digital Security Group van de Radboud Universiteit in Nijmegen. Zij hebben het lek gemeld bij de leverancier NXP, die donderdag met een waarschuwing naar buiten treedt.

Verder wil het bedrijf niet inhoudelijk reageren tot er een uitgebreid verslag van de Radboud Universiteit is. Dat zal later dit jaar verschijnen.

Ov-chipkaart

De Mifare Classic-chip wordt ook gebruikt voor de ov-chipkaart, die in 2011 getroffen werd door een soortgelijke kwetsbaarheid. De uitgever van de kaart, Trans Link Systems (TLS), bevestigt tegenover NU.nl dat de zwakheid bestaat.

"Als de aanval in bestaande tools beschikbaar komt, verwachten we dat misbruik mogelijk wordt", zegt Arco Groothedde, directeur van TLS, tegenover NU.nl. De organisatie heeft het lek in samenwerking met de Radboud Universiteit onderzocht en stelde vast dat de aanval echt werkt.

TLS zegt bovendien dat er geen oplossing voor het nieuwe lek is. Het bedrijf verwacht dat de fraude flink omhoog zal gaan na publicatie van de technische details.

Fraude

Volgens Groothedde is van het onderzoek in 2011 veel geleerd en wordt fraude nu wel goed ontdekt. Destijds konden aanvallers ongemerkt hun gang gaan. Volgens TLS wordt er nog steeds met oude ov-chipkaarten, die nog gebruikmaken van een chip met het lek uit 2011, gefraudeerd.

Dat gaat maandelijks om zo'n dertig van de veertien miljoen uitgegeven kaarten. De totale schade van misbruik schat het bedrijf op zo'n 250 euro per maand in. Gedupeerde klanten krijgen die schade vergoed.