An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Xpient Security-Berater hackt Kasse mit dem Smartphone

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Anzeige

Der Security-Experte Matt Bergin hat eine Lücke bei dem Kassensoftwarehersteller Xpient entdeckt, die es ermöglicht, durch das Senden eines kurzen Codes vom Smartphone Kassen zu öffnen. Dies berichtet die New York Times unter Berufung auf den Experten, der Security Consultant bei dem Unternehmen Core Security ist. Das Unternehmen hat den Bericht bestätigt.

Zum Öffnen der Kasse sei nur das Senden von zwei Zeichen nötig, sagte Bergin der Zeitung. "Es war sehr trivial", so Bergin, der mit Reverse Engineering die Lücke fand. Er habe erwartet, in der Software eine verschlüsselte Schicht oder einen Passwortschutz zu finden, den er erst brechen müsse. Doch zu seiner Überraschung war dem nicht so. Die Kassenschublade habe sich ganz einfach öffnen lassen.

Xpient-Chef Christopher Sebes sagte der New York Times, dass das Unternehmen einen Patch bereitgestellt habe, den sich die Kunden herunterladen könnten. Laut Sebes sei der Angriff aber nicht möglich, wenn der Kassenbetreiber die Windows Firewall aktiviert hätte. Wer einfach die "No Sale"-Taste drückt, könne aber auch auf diesem Weg die Geldschublade jederzeit öffnen.

Im Juli 2012 wurde berichtet, dass Hacker EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen können. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angegriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Der IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte: "Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen."

Der Angriff könne nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."


Krakatau 23. Jul 2013

Letzte Woche hat jemand auf meinem Namen über die Netto-App für insgesamt 220 Euro...

Hu5eL 12. Jun 2013

Dachte der Datenaustausch sollte mittels verschlüsselung (private-key) durchgeführt...

itsame 08. Jun 2013

Nein kann man nicht. Die sind meistens Passwort geschützt. In der Regel gehen die nur bei...

itsame 07. Jun 2013

Vermutlich gab es Bufferoverflows. Die Kassen dachten es kommen normale EANs und dann...

DrIGGI 07. Jun 2013

Ich frage mich eher wie das mit nur 2 Zeichen gehen soll

Kommentieren



Anzeige

  1. Mitarbeiter (m/w) im zentralen Qualitätsmanagement
    PSI AG, Berlin
  2. Anwendungsentwickler (m/w)
    KiKxxl GmbH, Dortmund
  3. Assistent (m/w)
    Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen
  4. C++ Softwareentwickler (m/w)
    Basler AG, Ahrensburg bei Hamburg

 

Detailsuche


Top-Angebote
  1. NEU: The Witcher 3: Wild Hunt - PlayStation 4
    39,00€
  2. BIS 2. AUGUST GÜNSTIGER: Kindle Voyage, 15,2 cm (6 Zoll)
    165,00€ statt 189,00€
  3. NEU: GTA 5 (Xbox One)
    19,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Allison Road

    Das geistige Erbe von Silent Hill entwickelt ein Deutscher

  2. Windows 10

    Verteilung des Gratis-Upgrades erzwingen

  3. Actionspiel

    EA kündigt Titanfall Online an

  4. Windows 10 im Test

    Unfertiger, aber guter Windows-8.1-Bugfix

  5. 2 Petawatt

    Japaner nehmen Superlaser in Betrieb

  6. Kritischer Softwarefehler

    RyuJIT verändert willkürlich Parameter

  7. World of Tanks

    Plattformübergreifende Panzergefechte

  8. BND-Selektorenaffäre

    G-10-Kommission prüft angeblich Klage gegen Regierung

  9. Plasma Mobile

    Ein Smartphone-OS von und für die Community

  10. Websicherheit

    Riskante Git-Verzeichnisse



Haben wir etwas übersehen?

E-Mail an news@golem.de



SIOD: Wenn die Anzeige auch in der Zeitung blinkt
SIOD
Wenn die Anzeige auch in der Zeitung blinkt
  1. Panasonic FZ300 Superzoom-Kamera arbeitet mit f/2,8-Objektiv und 4K-Auflösung
  2. Panasonic Lumix GX8 Systemkamera ermöglicht Scharfstellung nach der Aufnahme
  3. Pebble Time im Test Nicht besonders smart, aber watch

New Horizons: Pluto wird immer faszinierender
New Horizons
Pluto wird immer faszinierender
  1. Die Woche im Video Trauer, Tests und Windows 10
  2. New Horizons Gruß aus den Pluto-Bergen
  3. Raumfahrt New Horizons wirft einen kurzen Blick auf den Pluto

In eigener Sache: Preisvergleich bei Golem.de
In eigener Sache
Preisvergleich bei Golem.de
  1. In eigener Sache News von Golem.de bei Xing lesen
  2. In eigener Sache Golem.de erweitert sein Abo um eine Schnupper-Version

  1. Re: Upgrade mit WinXP lizenz

    Bouncy | 15:31

  2. Re: Es könnte so einfach sein...

    Hotohori | 15:30

  3. Re: Mittwoch

    david_rieger | 15:29

  4. Re: Zeit um auf Linux umzusteigen

    Mr Miyagi | 15:29

  5. Re: Upgrade oder Neuinstallation

    vini.geilomat3000 | 15:29


  1. 15:15

  2. 13:05

  3. 12:47

  4. 12:13

  5. 12:00

  6. 11:15

  7. 11:02

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel