Onderzoekers van de Radboud Universiteit hebben in een proefopstelling aangetoond dat er een ontwerpfout in het autorisatieproces met de e.dentifier2 van ABN AMRO zit. Als de e.dentifier2 via een USB-kabel met de PC verbonden is, kunnen via een malware infectie op de computer betalingen worden goedgekeurd zonder tussenkomst van de gebruiker.
De e.dentifier2 is een kaartlezer die met behulp van de chip op de ABN AMRO betaalpas een code genereert om betalingen goed te keuren. De e.dentifier2 is in opdracht van ABN AMRO ontwikkeld door het zweeds bedrijf Todos AB, dat later is overgenomen door Gemalto.
Om het proces zo eenvoudig mogelijk te maken kan de chiplezer worden verbonden met een computer, zodat minder gegevens te hoeven worden ingetypt op de chiplezer. Om een betaling goed te keuren, toetst de gebruiker zijn PIN in op de e.dentifier2, waarna de gegevens van de betaling op het schermpje van de e.dentifier2 worden getoond. De gebruiker drukt op de OK-knop en de betaling wordt samen met een unieke autorisatiecode verzonden naar de ABN AMRO server.
Het probleem zit in de manier waarop de unieke autorisatiecode wordt aangemaakt. Na het intoetsen van de PIN en het goedkeuren van de betalingsgegevens met de OK-knop op de e.dentifier2, wordt een signaal naar de computer verzonden. De computer stuurt vervolgens een opdracht naar de e.dentifier2 om de unieke autorisatiecode te genereren.
Als de computer is geïnfecteerd met malware kan een betaling worden uitgevoerd zonder dat de gebruiker op OK heeft gedrukt. Zodra de gebruiker zijn PIN heeft ingetoetst, stuurt de malware direct een bericht naar de e.dentifier met de transactiegegevens, gevolgd door de opdracht om de autorisatiecode te genereren. Het scherm van de e.dentifier2 wordt hierna automatisch gewist. De frauduleuze transactie wordt met digitale goedkeuring verzonden naar de ABN AMRO server.
Er zijn nog geen implementaties van deze kwetsbaarheid in het wild bekend. Om deze kwetsbaarheid te exploiteren is malware nodig die een Man-In-The-Middle (MiTM) aanval uitvoert op de USB-verbinding met de e.dentifier2. De onderzoekers gebruikten hiervoor een omweg, er is nog geen malware bekend die een MiTM via USB kan uitvoeren.
Malware kan natuurlijk ook direct betalingen in de browser manipuleren. Deze aanval met de e.dentifier2 zorgt er wel voor dat gebruikers een groter gevoel van veiligheid hebben en mogelijk minder alert zullen zijn.