Security-Fail: Geldautomaten-Schutzsoftware kapert Geldautomaten
Jackpot! Die Software Checker ATM Security soll eigentlich Bankautomaten schützen. Stattdessen öffnet sie Sicherheitslücken, die es erlauben, die Automaten komplett zu kapern und beliebig Geld auszahlen zu lassen.
(Bild: dpa, Deutsche Bundesbank/Archiv)
- Fabian A. Scherschel
Sicherheitsforscher haben in der Geldautomaten-Schutzsoftware Checker ATM Security Schwachstellen gefunden, über die Hacker einen Geldautomaten Automaten vollständig unter ihre Kontrolle bringen können. Die Software sollte die Automaten eigentlich vor Hackerangriffen schützen. Sie verhindert das Ausführen unbefugter Apps und blockiert Peripheriegeräte wie etwa Tastaturen oder USB-Sticks, die an das Gerät angeschlossen werden. Durch die Sicherheitslücken können Angreifer, die sich zwischen Bankautomaten und Server der Bank schalten (etwa per ARP-Spoofing oder weil er direkt an die Netzwerkbuchse des Gerätes geht), sich beliebig Geld auszahlen lassen.
Lücken inzwischen geschlossen
Wie The Register berichtet, hat GMV, der Hersteller der Schutzsoftware, die Sicherheitslücken nun geschlossen. Die Firma stellt sich auf den Standpunkt, die Sicherheitslücken seien schwer auszunutzen. Man habe keine Angriffe in freier Wildbahn gesehen und die Wahrscheinlichkeit, dass ein Hacker die Lücken nutzen könne, sei "ziemlich klein". Die Firma bezieht sich dabei auf die Tatsache, dass ein Angreifer Zugang zum Netzwerk des Automaten bekommen muss. Außerdem müsse der Angreifer eine bestimmte Speicheradresse finden, die bei jeder Windows-Kernel-Version anders ist. Auf Windows 7 sei sie bei jeder Installation unterschiedlich. Nach Einschätzung von GMV ist es "fast unmöglich", diese Speicheradresse zu finden.
Schutzsoftware als Achillesferse
Dass Schutzsoftware zur Achillesferse eines Systems wird, ist keine neue Erkenntnis. Die Entwickler von Anti-Viren-Software schlagen sich mit diesem Phänomen schon lange herum. Dass die verantwortliche Firma bei der Einschätzung als kritisch eingeordneter Sicherheitslücken (in diesem Fall zum Beispiel CVE-2017-6968) dermaßen abwiegelt, ist allerdings bemerkenswert. Gerade Bankautomaten sollten als extrem begehrenswerte Ziele eingeschätzt werden, bei denen nicht davon ausgegangen werden kann, dass Angreifer derart gravierende Sicherheitslücken ungenutzt lassen. (fab)
