Geldautomaten: Jack-Potting via NFC
Über Fehler unter anderem in der Umsetzung der drahtlosen Kommunikation konnte ein Forscher Geldautomaten plündern und Bezahlterminals austricksen.
(Bild: Jacob Lund/Shutterstock)
Der Sicherheitsforscher Josep Rodriguez fand und demonstrierte Fehler in Geldautomaten und Bezahlterminals, die er einfach mit seinem Handy auslösen konnte. Dabei sendete eine selbst geschriebene App via NFC speziell präparierte Pakete, die dann Pufferüberläufe auslösten. Damit konnte er etwa den zu bezahlenden Betrag herabsetzen oder in einem Fall sogar den Geldautomaten zur unautorisierten Herausgabe von Bargeld bewegen – in der Security-Szene spricht man dabei von "Jack Potting".
Betroffen sind oder waren nach Angaben von Rodriguez Automaten von ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und ein ungenannter Hersteller. Die hat er nach eigenen Angaben vor sieben bis zwölf Monaten über die Probleme informiert. In der Zwischenzeit wurden die Fehler teilweise beseitigt. Doch die schiere Zahl der anfälligen Geräte, die teilweise physisch vor Ort gepatcht werden müssten, bedeutet, dass wahrscheinlich immer noch nicht alle Systeme gesichert wurden, warnt Rodriguez
.
Die genauen Ursachen der Fehler legt Rodriguez nicht offen. Er demonstrierte jedoch gegenüber dem US-Magazin Wired in einem Video, wie er einen Geldautomaten in Madrid mit seinem Handy zum Absturz brachte. Gegenüber Wired bestätigten auch Ingenico und Verifone, dass sie die von Rodriguez gemeldeten Fehler in ihren Systemen behoben hätten.
Fehler aus dem letzten Jahrtausend
Auslöser war in allen Fällen anscheinend eine mangelhafte Umsetzung des EMV-Standards über NFC, die es erlaubte, dass manipulierte Application Protocol Data Units (APDUs) zu Pufferüberläufen führten. Diese APDUs sind die elementaren Einheiten der Kommunikation zwischen Chipkarten und deren Lesegeräten; sie enthalten sowohl Daten als auch Befehle. Beim Jack-Potting kombinierte Rodriguez die NFC-Probleme mit weiteren Lücken in der ATM-Software. Diese hatte Rodriguez im Rahmen seiner Consulting-Tätigkeit bei der Sicherheitsfirma IOActive entdeckt, sodass sie einem Non-Disclosure-Abkommen unterliegen (daher auch der ungenannte Hersteller).
Das Erschreckendste an den Entdeckungen ist nicht die Tatsache, dass auch Geldautomaten und Bezahlterminals Sicherheitslücken enthalten. Aber dass es sich dabei um einfache Pufferüberläufe handelt, die sich noch dazu anscheinend trivial ausnutzen lassen, ist zumindest besorgniserregend. Denn diese Art von Lücken und Exploits stammen eigentlich aus dem letzten Jahrtausend und in der Zwischenzeit hat sich sicherheitstechnisch doch einiges getan.
(ju)