Anzeige
Artema Hybrid Terminal
Artema Hybrid Terminal (Bild: Verifone)

Verifone: EC-Kartenterminals in Deutschland gehackt

Artema Hybrid Terminal
Artema Hybrid Terminal (Bild: Verifone)

Hackern ist es gelungen, ein EC-Terminal von Verifone von außen anzugreifen und die Kartendaten sowie Geheimnummern auszulesen. 300.000 dieser Geräte stehen in Geschäften in Deutschland, die Lücke soll seit März 2012 bekannt gewesen sein.

Hacker konnten EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen. Das ARD-Magazin Monitor hat dies unter Aufsicht von Gutachtern versuchsweise vorgeführt. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Anzeige

Rund 300.000 dieser Geräte stehen in deutschen Geschäften, berichtet Monitor. IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte, es könnten "theoretisch viele Terminals auf einmal gehackt werden." Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen.

Verifone bestätigte gegenüber Monitor die Sicherheitslücke. Der Hersteller sei dabei, für die Geräte "ein Softwareupdate zu erstellen", um die "Verwundbarkeit" zu beheben.

Auch der Branchenverband Deutsche Kreditwirtschaft erklärte Monitor: "Der Hersteller ist (...) angehalten, kurzfristig ein Software-Update (...) bereitzustellen."

Doch laut Monitor ist die Sicherheitslücke dem Hersteller und den Banken seit Monaten bekannt. Security Research Labs habe Verifone schon im März 2012 darüber informiert.

Ulrike Meyer, Professorin für IT-Sicherheit an der Rheinisch-Westfälischen Technischen Hochschule Aachen, forderte: "Es muss jetzt eine ganze Reihe Dinge passieren, an verschiedenen Fronten. Zum einen ist der Hersteller von dem EC-Terminal gefragt, dass er versucht, diese existierende Lücke zu patchen. Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden. Langfristig muss geschaut werden, was in dem Zertifizierungsprozess fehlgeschlagen ist."

In Deutschland waren 2010 rund 670.000 Kartenterminals in Betrieb und 97 Millionen EC-Karten im Umlauf.

Nachtrag vom 12. Juli 2012, 12:16 Uhr

Laut Bundesverband der deutschen Volksbanken und Raiffeisenbanken ist das Artema-Hybrid-EC-Terminal des Herstellers Verifone betroffen. "Grundsätzlich haften Kunden nicht für Schäden aus einem Angriff, bei dem ihre Kartendaten ausgespäht und diese außerhalb des Girocard-Systems auf Magnetstreifenbasis (beispielsweise im außereuropäischen Ausland) missbräuchlich verwendet wurden", betonte der Verband.

Karsten Nohl von Security Research Labs betonte im Gespräch mit Golem.de, dass der Forscher Thomas Roth die Sicherheitslücke entdeckt habe. Der Angriff könne, so Nohl, nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."

Security Research Labs: Ein Patch hilft nicht

Auch bei lokalen Angriffen sei das Ziel, eine Malware auf dem Terminal laufen zu lassen. "Die serielle Schnittstelle und die JTAG-Schnittstelle des Applikationsprozessors prädestinieren sich für lokale Angriffe. Vor allem die JTAG-Schnittstelle, weil es hier keinen Softwarepatch geben kann, der die Lücke schließt. Der Prozessor bietet keine Möglichkeit, die Schnittstelle abzuschalten. Man operiert mit JTAG unterhalb der Software, darum kann sich die Software davor nicht schützen", sagte Nohl. Selbst wenn 300.000 Geräte einen Patch hätten, könne die Lücke nicht geschlossen werden. "Per Softwareupdate ist nur ein Angriff aus irgendeinem Keller im Ausland abzuwehren, bei dem tausende Terminals auf einmal gehackt werden."

Lokale Angriffe seien auch durch ein Ablenkungsmanöver möglich, wenn der Kartenleser beispielsweise im Café auf den Tisch gestellt wird. "Ab da kann er dann alles abgreifen", erklärte Nohl.


eye home zur Startseite
Frank1965 23. Jul 2012

In der aktuellen c't ist ja auch ein Artikel zu dem Thema drin. Das kann man auch...

Endwickler 13. Jul 2012

Also da bekommt man gebrauchte PC's aber billiger. :-)

Local_Horst 13. Jul 2012

Da bräuchte man gar nicht auf der Platine rum braten. Mit efuses wäre es kein Problem...

Ampel 13. Jul 2012

Detaillierte Beweise ,Log dateien ( ausdrucke) und ein Testaufbau vor dem Richter der...

Ampel 13. Jul 2012

Leider ist es das problem schlechthin !. Die Datenübertragungen werden heutzutage gro...

Kommentieren



Anzeige

  1. Requirements Engineer Integrationsprojekte Insurance (m/w)
    Daimler AG, Stuttgart
  2. Consultant Automotive Sales (m/w)
    T-Systems on site services GmbH, München, Leinfelden-Echterdingen
  3. Projektleiter/in - Frontend, Backend
    Bosch Engineering GmbH, Abstatt
  4. Softwareentwickler für sicherheitsgerichtete Systeme in der Intralogistik (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    18,99€ (Vorbesteller-Preisgarantie)
  2. Jack Ryan Box [Blu-ray]
    13,97€
  3. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€

Weitere Angebote


Folgen Sie uns
       


  1. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  2. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  3. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  4. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  5. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  6. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  7. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  8. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  9. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  10. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Das läuft dann wie bei Druckern...

    LordGurke | 13:49

  2. Re: Phänomen SUV

    plutoniumsulfat | 13:47

  3. Sonderbare Mehrung

    UDA | 13:40

  4. Re: vermenschelte Fragen und arg konstruierte...

    plutoniumsulfat | 13:39

  5. Re: neues Thunderbolt Display mit Grafikkarte...

    Netspy | 13:39


  1. 10:36

  2. 09:50

  3. 09:15

  4. 09:01

  5. 14:45

  6. 13:59

  7. 13:32

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel