An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Xpient Security-Berater hackt Kasse mit dem Smartphone

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Anzeige

Der Security-Experte Matt Bergin hat eine Lücke bei dem Kassensoftwarehersteller Xpient entdeckt, die es ermöglicht, durch das Senden eines kurzen Codes vom Smartphone Kassen zu öffnen. Dies berichtet die New York Times unter Berufung auf den Experten, der Security Consultant bei dem Unternehmen Core Security ist. Das Unternehmen hat den Bericht bestätigt.

Zum Öffnen der Kasse sei nur das Senden von zwei Zeichen nötig, sagte Bergin der Zeitung. "Es war sehr trivial", so Bergin, der mit Reverse Engineering die Lücke fand. Er habe erwartet, in der Software eine verschlüsselte Schicht oder einen Passwortschutz zu finden, den er erst brechen müsse. Doch zu seiner Überraschung war dem nicht so. Die Kassenschublade habe sich ganz einfach öffnen lassen.

Xpient-Chef Christopher Sebes sagte der New York Times, dass das Unternehmen einen Patch bereitgestellt habe, den sich die Kunden herunterladen könnten. Laut Sebes sei der Angriff aber nicht möglich, wenn der Kassenbetreiber die Windows Firewall aktiviert hätte. Wer einfach die "No Sale"-Taste drückt, könne aber auch auf diesem Weg die Geldschublade jederzeit öffnen.

Im Juli 2012 wurde berichtet, dass Hacker EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen können. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angegriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Der IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte: "Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen."

Der Angriff könne nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."


Krakatau 23. Jul 2013

Letzte Woche hat jemand auf meinem Namen über die Netto-App für insgesamt 220 Euro...

Hu5eL 12. Jun 2013

Dachte der Datenaustausch sollte mittels verschlüsselung (private-key) durchgeführt...

itsame 08. Jun 2013

Nein kann man nicht. Die sind meistens Passwort geschützt. In der Regel gehen die nur bei...

itsame 07. Jun 2013

Vermutlich gab es Bufferoverflows. Die Kassen dachten es kommen normale EANs und dann...

DrIGGI 07. Jun 2013

Ich frage mich eher wie das mit nur 2 Zeichen gehen soll

Kommentieren



Anzeige

  1. Projectmanager SAP AA & MM International Business (m/w), SDM-1
    Deutsche Telekom Accounting GmbH, Bonn
  2. SAP-Berater/in Data Management Materialstamm
    Schaeffler Technologies AG & Co. KG, Schweinfurt
  3. Software Application Engineer (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  4. Softwarearchitektinnen / Softwarearchitekten
    Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, Sankt Augustin

 

Detailsuche


Blu-ray-Angebote
  1. NEU: 7 Tage Tiefpreise bei Amazon
    (u. a. Blu-rays: Der Hobbit: Die Schlacht der fünf Heere 11,11€, The Scorpion King 1-3 Box 9...
  2. Rubbeldiekatz [Blu-ray] [Limited Collector's Edition]
    7,97€
  3. Jurassic Park - Steelbook [Blu-ray] [Limited Edition]
    9,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. US-Steuerbehörde

    Hunderttausend Konten kompromittiert

  2. Teststrecke

    Hyperloop wird in Kalifornien gebaut

  3. Surreal Vision

    Oculus VR kauft Spezialisten für gemischte Realität

  4. Microsoft

    Cortana kommt auf Android und iOS

  5. Mobilfunk

    Frequenzversteigerung beginnt heute in Deutschland

  6. VW Car Net

    Volkswagen unterstützt Android Auto, Carplay und Mirrorlink

  7. Yeair

    Benzincopter fliegt eine Stunde lang

  8. Elektromobilität

    Elektroautos sind etwas fürs Land

  9. TV-Kabelnetz

    Primacom will auf 500 MBit/s beschleunigen

  10. Linux-Distribution

    Fedora 22 ist ein Release für Admins



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 10 IoT Core angetestet: Windows auf dem Raspberry Pi 2
Windows 10 IoT Core angetestet
Windows auf dem Raspberry Pi 2
  1. Kleinstrechner Preise für das Raspberry Pi B+ gesenkt
  2. Artik Samsung stellt Bastelcomputer-Serie vor
  3. Hummingboard angetestet Heiß und anschlussfreudig

Yubikey: Nie mehr schlechte Passwörter
Yubikey
Nie mehr schlechte Passwörter
  1. Torrent-Tracker Eztv-Macher geben wegen feindlicher Übernahme auf
  2. MSpy Daten von Überwachungssoftware veröffentlicht
  3. Arrows NX F-04G Neues Fujitsu-Smartphone scannt die Iris

Maker Faire Bay Area 2015: Die Lust, zu schaffen und zu zerstören
Maker Faire Bay Area 2015
Die Lust, zu schaffen und zu zerstören
  1. Materialforschung Forscher 3D-drucken Graphen-Aerogel
  2. General Electric Flugzeugtriebwerk erhält Bauteil aus 3D-Drucker
  3. 3D-Drucker im Lieferwagen Amazon will Waren auf dem Weg zum Kunden produzieren

  1. Re: PHP?

    HowlingMadMurdock | 09:55

  2. Re: Modellflugplätze

    morob65 | 09:55

  3. Re: Studie...

    Trollversteher | 09:55

  4. und windows phone ?

    pk_erchner | 09:54

  5. Re: Passwort wird lokal gespeichert für jeden...

    zufälliger_Benu... | 09:52


  1. 09:51

  2. 09:42

  3. 09:39

  4. 09:04

  5. 08:59

  6. 08:44

  7. 08:22

  8. 20:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel