Leichter Zugriff für die Polizei

Smartphone-Hersteller unterstützen US-Behörden offenbar dabei, die PIN-Sperre der Handys Verdächtiger zu umgehen. Das geht aus polizeilichen Trainingsunterlagen hervor, die laut Cnet vom Sacramento Sheriffs Office stammen. Die Unterlagen enthalten Vordrucke für richterlichen Anweisungen, in die die Beamten nur noch Handynummer, Seriennummer und Modell eintragen müssen.

Ok zugegeben PINs sind eh nicht unbedingt sicher, aber es ist immer spannend zu sehen worauf man sich besser nicht verlassen sollte.

 

Chip and PIN is broken

Forschern der University of Cambridge ist es gelungen den Eurocard Mastercard Visa (EMV) zu knacken, was die Nutzung von Karten ohne PIN erlaubt. (pdf)

In essence, there is a gaping hole in the specifications which together create the “Chip and PIN” system. These specs consist of the EMV protocol framework, the card scheme individual rules (Visa, MasterCard standards), the national payment association rules (UK Payments Association aka APACS, in the UK), and documents produced by each individual issuer describing their own customisations of the scheme. Each spec defines security criteria, tweaks options and sets rules – but none take responsibility for listing what back-end checks are needed. As a result, hundreds of issuers independently get it wrong, and gain false assurance that all bases are covered from the common specifications. The EMV specification stack is broken, and needs fixing.