An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Xpient Security-Berater hackt Kasse mit dem Smartphone

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Anzeige

Der Security-Experte Matt Bergin hat eine Lücke bei dem Kassensoftwarehersteller Xpient entdeckt, die es ermöglicht, durch das Senden eines kurzen Codes vom Smartphone Kassen zu öffnen. Dies berichtet die New York Times unter Berufung auf den Experten, der Security Consultant bei dem Unternehmen Core Security ist. Das Unternehmen hat den Bericht bestätigt.

Zum Öffnen der Kasse sei nur das Senden von zwei Zeichen nötig, sagte Bergin der Zeitung. "Es war sehr trivial", so Bergin, der mit Reverse Engineering die Lücke fand. Er habe erwartet, in der Software eine verschlüsselte Schicht oder einen Passwortschutz zu finden, den er erst brechen müsse. Doch zu seiner Überraschung war dem nicht so. Die Kassenschublade habe sich ganz einfach öffnen lassen.

Xpient-Chef Christopher Sebes sagte der New York Times, dass das Unternehmen einen Patch bereitgestellt habe, den sich die Kunden herunterladen könnten. Laut Sebes sei der Angriff aber nicht möglich, wenn der Kassenbetreiber die Windows Firewall aktiviert hätte. Wer einfach die "No Sale"-Taste drückt, könne aber auch auf diesem Weg die Geldschublade jederzeit öffnen.

Im Juli 2012 wurde berichtet, dass Hacker EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen können. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angegriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Der IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte: "Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen."

Der Angriff könne nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."


Krakatau 23. Jul 2013

Letzte Woche hat jemand auf meinem Namen über die Netto-App für insgesamt 220 Euro...

Hu5eL 12. Jun 2013

Dachte der Datenaustausch sollte mittels verschlüsselung (private-key) durchgeführt...

itsame 08. Jun 2013

Nein kann man nicht. Die sind meistens Passwort geschützt. In der Regel gehen die nur bei...

itsame 07. Jun 2013

Vermutlich gab es Bufferoverflows. Die Kassen dachten es kommen normale EANs und dann...

DrIGGI 07. Jun 2013

Ich frage mich eher wie das mit nur 2 Zeichen gehen soll

Kommentieren



Anzeige

  1. Systemspezialist Funksysteme (m/w)
    IABG Industrieanlagen-Betriebsgesellschaft mbH, Ottobrunn bei München
  2. Scientific Programmer (m/w)
    CeMM Research Center for Molecular Medicine of the Austrian Academy of Sciences, Vienna (Austria)
  3. Product Owner (m/w)
    TeamViewer GmbH, Göppingen
  4. PreSales Storage Consultant Service Provider (m/w)
    NetApp Deutschland GmbH, München, Stuttgart oder Hamburg

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Star Wars Battlefront (PC/PS4/Xbox One)
    ab 59,99€ (Vorbesteller-Preisgarantie)
  2. VORBESTELL-BESTSELLER: Fire TV Stick
    39,00€ - Release 15.04.
  3. TIPP: 3 Blu-rays für 12 EUR
    (u. a. Der große Crash - Margin Call, Hostage - Entführt u. Metro - Im Netz des Todes)

 

Weitere Angebote


Folgen Sie uns
       


  1. Xbox One

    Firmware-Update bringt Sprachnachrichten auf die Konsole

  2. Elektromobilitätsgesetz

    Bundesrat gibt Elektroautos mehr Freiheiten

  3. 2160p60

    Youtube startet fordernde 60-fps-Videos in scharfem 4K

  4. Nuclide

    Facebook stellt quelloffene IDE vor

  5. Test Borderlands Handsome Collection

    Pandora und Mond etwas schöner

  6. Net-a-Porter

    Amazon soll vor 2-Milliarden-Dollar-Übernahme stehen

  7. Fire TV mit neuer Firmware im Test

    Streaming-Box wird vielfältiger

  8. Knights Landing

    Die Xeon Phi beherbergt Intels bisher größten Chip

  9. Volker Kauder

    Mehr deutsche Teststrecken für selbstfahrende Autos gefordert

  10. Wearable

    Smartwatch Olio soll vor Benachrichtigungsflut schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  2. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück
  3. Urheberrecht Abmahnung wegen Nutzung des Facebook-Buttons bei Bild.de

KNX-Schwachstellen: Spielen mit den Lichtern der anderen
KNX-Schwachstellen
Spielen mit den Lichtern der anderen
  1. Danalock Wenn das Smartphone die Tür öffnet
  2. Apple Homekit will nicht in jedes Smart Home einziehen
  3. Elgato Eve Heimautomation mit Apple Homekit

HTC One (M9) im Test: Endlich eine gute Kamera
HTC One (M9) im Test
Endlich eine gute Kamera
  1. Lollipop Erstes HTC-One-Smartphone erhält kein Android 5.1

  1. Re: Apple baut es, Hater meinen gabs schon...

    das_mav | 06:07

  2. Re: Das alte Trackpad

    gasm | 06:04

  3. Re: Gekauft, getestet, für mittelmäßig befunden

    Blitze | 06:03

  4. Re: Warum VP9?

    tibrob | 05:36

  5. Re: Kommt es nur mir so vor oder ist die...

    tibrob | 05:32


  1. 17:09

  2. 15:52

  3. 15:22

  4. 14:24

  5. 14:00

  6. 13:45

  7. 13:44

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel