Holdet fandt ud af, at ved at knytte en lille enhed kaldet en "glitcher" til pengeautomaten, kunne kriminelle manipulere den kryptografiske protokol, der bruges af chip og PIN-kode til at beskytte PIN-numre.
Denne sårbarhed kan give kriminelle mulighed for at stjæle penge fra ofrenes bankkonti ved at narre pengeautomaten til at tro, at en ægte pinkode faktisk er en anden pinkode af højere værdi.
Forskerne har udviklet en patch, der kunne rette op på sårbarheden, og de arbejder sammen med UK Cards Association (UKCA) for at sikre, at alle britiske chip- og PIN-terminaler bliver patchet så hurtigt som muligt.
Professor Steve Fehler fra University of Cambridge's Computer Laboratory, der ledede forskningen, sagde:"Dette er en alvorlig sårbarhed, der kan gøre det muligt for kriminelle at stjæle penge fra folks bankkonti. Vi arbejder sammen med UK Cards Association for at sikre, at hele Storbritannien chip- og PIN-terminaler lappes hurtigst muligt."
Forskerne har udgivet et papir, der beskriver deres resultater, som vil blive præsenteret på USENIX Security Symposium i august.
Her er en mere detaljeret forklaring på, hvordan angrebet fungerer:
* Når en chip og et PIN-kort indsættes i en pengeautomat, sender pengeautomaten en besked til kortet og beder om dets pinkode.
* Kortet krypterer derefter PIN-koden ved hjælp af en kryptografisk protokol kaldet DES (Data Encryption Standard) og sender den tilbage til pengeautomaten.
* Pengeautomaten dekrypterer PIN-koden ved hjælp af den samme kryptografiske protokol og kontrollerer den mod PIN-koden, der er gemt på kortet.
* Hvis PIN-koden er korrekt, godkender pengeautomaten transaktionen.
Forskerne fandt ud af, at ved at vedhæfte en "glitcher" til pengeautomaten kunne de manipulere den kryptografiske protokol, så når en ægte PIN-kode indtastes, ser det ud til, at en PIN-kode med højere værdi er blevet indtastet.
For eksempel, hvis den ægte PIN-kode var 1234, kunne fejlen ændre dette, så pengeautomaten 'så' en PIN-værdi på 9876. Dette ville give forbryderen mulighed for at hæve £9876 i stedet for £1234 fra offerets bankkonto.
Forskerne har udviklet en patch, der kunne rette op på sårbarheden, og de arbejder sammen med UK Cards Association for at sikre, at alle britiske chip- og PIN-terminaler bliver rettet så hurtigt som muligt.
Denne sårbarhed er en påmindelse om, at intet sikkerhedssystem er fuldstændig idiotsikkert. Men ved at arbejde sammen kan vi gøre det så svært som muligt for kriminelle at stjæle vores penge.