Black Hat 2014: 75 Prozent aller mobilen Kassensysteme verwundbar

Der Sicherheitsexperte Jon Butler und ein Kollege, der einfach unter dem Vornamen Nils auftritt, haben schwerwiegende Lücken im mobilen Kassensystem Miura Shuttle entdeckt und ihre Erkenntnisse auf der Sicherheitskonferenz Black Hat 2014 vorgestellt. Die mobile POS (Point of Sale)-Hardware dient den Forschern zufolge als Grundlage für zahlreiche weitere mPOS-Produkte anderer Anbieter – darunter wahrscheinlich auch des Platzhirsches PayPal – und kommt somit auf einen Marktanteil von geschätzt 75 Prozent. Welche dieser Hersteller noch von den aufgespürten Schwachstellen betroffen sind, wollten Butler und Nils nicht sagen.

Unsicheres Linux-System als Grundlage

Die Miura-Hardware basiert laut Butler auf einer ARMv5-CPU und einem Linux-Betriebssystem. Die Forscher konnten auf einem der Terminals die zum Initialisieren notwendige Software wiederherstellen und hatten so die Grundlage für die Schwachstellensuche. Diese Software wird eigentlich nach der Installation des Gerätes gelöscht.

Die Suche brachte auch alsbald Erfolg: Sowohl per USB als auch per Bluetooth lässt sich durch Missbrauch einer Schwachstelle beliebiger Code mit Root-Rechten auf dem mPOS-Terminal ausführen. Die Funktion zum Filetransfer per Bluetooth wurde den Forschern zufolge wahrscheinlich integriert, um Firmware-Updates aufspielen zu können.

Durch das Hochladen eines Debuggers aufs mPOS-Gerät konnten die Forscher die Anwendung untersuchen, die zum Umgang mit Chip & PIN von Kreditkarten (EMV-Verfahren) dient. Und auch hier wurden sie fündig und entdeckten einen Stack-basierten Pufferüberlauf im Programmteil, der sich um das Verarbeiten der EMV-Daten kümmert. Trotz einer halbwegs modernen Linux-Variante auf dem Gerät waren keinerlei Schutzmechanismen wie NX oder ASLR aktiv.

Flappy Bird auf dem Kreditkarten-Terminal

Ausgenutzt haben die Forscher den Bug live im Rahmen einer Vorführung: Durch das Einschieben einer speziell präparierten programmierbaren Smartcard wurde der Pufferüberlauf mittels 180 Byte Shellcode missbraucht und anschließend der Schadcode (4 KByte) von der Karte nachgeladen. Ergebnis: Auf dem mPOS-Gerät läuft eine einfache Version von Flappy Bird, von den Hackern "Chippy PIN" getauft. Gesteuert wird das Spiel über die Tasten des Terminals – womit die Hacker belegen, dass sie nicht nur die Software unter Kontrolle haben, sondern auch die Tastatur.

Mit einem solchermaßen kontrollierten Gerät lassen sich beispielsweise PIN-Codes mitschneiden und das mPOS-Terminal so zum Skimmer umfunktionieren. Alternativ könnte ein Angreifer mit einer manipulierten Karte auch dafür sorgen, dass das Gerät in der Folge geklaute Karten klaglos akzeptiert ("Yes Terminal"). Dies dürfte für viele Kriminelle sehr attraktiv sein, da es in Europa dank Chip & PIN sehr schwer wurde, auf diese Art illegal an Geld zu kommen.

Jon Butler und Nils haben die entdeckten Schwachstellen im Vertrauen an Miura gemeldet und der Hersteller hat nach Aussage der Hacker vorbildlich reagiert. Die Lücken wurden durch ein neues Geräte-Betriebssystem im April 2014 geschlossen. Welche der anderen Anbieter diese vom Hersteller angebotene Version aber im einzelnen an ihre Kunden weitergeben, ist derzeit unklar. Daher nannten die Hacker auch keine Anbieternamen. (fab)