Nový malware cílí na čtečky chytrých karet

Tým vědců vytvořil prototypovou (proof of concept) verzi malwaru, díky kterému mohou útočníci získat kontrolu nad čtečkami chytrých karet komunikujících přes rozhraní USB. Malware na infikovaný počítač nainstaluje speciální ovladač, který dané zařízení USB propojí s útočníkovým počítačem. „V případě čteček může útočník použít middleware poskytovaný výrobce chytrých karet k manipulaci se zneužitými kartami tak, jako by byly připojené k jeho vlastnímu počítači,“ řekl Paul Rascagneres, bezpečnostní konzultant lucemburské společnosti Itrust Consulting, který je také vedoucím členem týmu, jenž vytvořil koncept malwaru.

V minulosti se sice již objevilo několik případů, kdy došlo ke zneužití čteček chytrých karet přes rozhraní API dodávaným výrobcem. Prototypová verze nového malwaru však tento typ útoku posouvá na vyšší úroveň, kdy je zařízení USB sdíleno přes TCP/IP v jakési surové formě. Díky ovladači nainstalovanému i na útočníkově počítači se navíc zařízení USB tváří, jako by bylo připojeno lokálně. Rascagneres hodlá malware názorně předvést koncem tohoto týdne na indické konferenci MalCon.

Chytré karty se používají pro různé účely, nejčastěji však pro ověřování a digitální podepisování dokumentů. Některé banky jej například nabízejí svým klientům společně se čtečkami pro bezpečnější přístup k jejich elektronickému bankovnictví. Jiné společnosti pomocí nich zase na dálku ověřují identitu svých zaměstnanců připojujících se k firemním sítím. V některých zemích dokonce chytré karty používají jako elektronickou verzi občanských průkazů.

Rascagneres a jeho tým svůj malware úspěšně otestovali na národní eID (electronic identity card) používané v Belgii a několika kartách vybraných belgických bank. Belgická eID mimo jiné umožňuje podávat daňové přiznání online, podepisovat digitální dokumenty nebo komunikovat s policií. Teoreticky by však mělo být malware možné použít na všechny typy chytrých karet. Ve většině případů jsou sice karty používané ve spojení s PIN kódem nebo heslem. Tento údaj se však vědcům podařilo snadno získat zachycením kláves použitých uživatelem při autorizaci. Útočník by byl ze hry pouze v případě, že by čtečka byla opatřena vlastní fyzickou klávesnicí.

Ovladače vytvořené výzkumníky nejsou digitálně podepsané platným certifikátem, takže je nelze instalovat na počítače s verzemi systému Windows, které podpis přímo vyžadují, například na 64bitové Windows 7. Útočník by však mohl svůj malware opatřit nějakým odcizeným certifikátem.