Man-in-the-middle-attack mot alla kortläsare med PIN

Forskare vid universitet i Cambridge har lyckats med att auktorisera köp med 6 olika kreditkort genom att interceptera kommunikationen mellan kort och terminal på ett sådant sätt att terminalen tror att transaktionen autentiserats med korrekt PIN-kod, fast slumpmässig PIN-kod använts.

Felet tycks bero på att man inte särkiljer mellan olika autentiseringssätt, och en man in the middle kan därför blanda så att terminalen tror att en högre autentiseringsgrad (PIN) har använts.

In particular, the terminal can record that a PIN verification has taken place, while the card itself receives a verification message that does not specify that a PIN has been used. The resultant authorisation by the terminal is acc

Läs mer: Chip and PIN is broken, say researchers - ZDNet.co.uk

Bra förklaring här:  How the Cambridge chip and PIN attack works - at ZDNet.co.uk