NFC: Geldautomaten und Bezahlterminals mit dem Smartphone gehackt

Seit einigen Jahren kann mit Smartphones, EC- und Kreditkarten kontaktlos per NFC-Chip bezahlt werden. Dem Forscher Josep Rodriguez von der Sicherheitsfirma IOActive ist es nun gelungen, Geldautomaten und Bezahlterminals über die NFC-Schnittstelle zu hacken. Betroffen sind weltweit Millionen Geräte.

Um die Sicherheitslücken auszunutzen, hat er eine Android-App entwickelt, welche die Funkverbindungen von Kreditkarten nachahmen und Schwachstellen in der Firmware der NFC-Chips in den Bezahlterminals oder Geldautomaten ausnutzen kann. Auf diese Weise kann er beispielsweise Bezahlgeräte zum Absturz bringen oder sie sperren und eine Ransomware-Nachricht anzeigen.

Mit der App kann er auch Kartendaten sammeln und übertragen sowie heimlich den Wert einer Transaktion ändern. Allerdings weist der Sicherheitsforscher Karsten Nohl, der Rodriguez' Arbeit überprüft hat, darauf hin, dass ein gehacktes NFC-Lesegerät nur in der Lage wäre, Magnetstreifen-Kreditkartendaten zu stehlen. An die PIN des Opfers oder die Daten des EMV-Chips könne auf diese Weise nicht zugegriffen werden.

Mindestens eine Geldautomaten-Marke könne er zudem dazu bringen, Bargeld auszugeben, sagte Rodriguez. Diese Art von Angriff wird Jackpotting genannt, soll allerdings im vorliegenden Fall nur mit einer Reihe von weiteren Fehlern möglich sein, die Rodriguez in der Software des Geldautomaten entdeckt haben will. Aufgrund von Geheimhaltungsvereinbarungen mit den Herstellern könne er keine Details zu den Sicherheitslücken nennen, erklärte der Sicherheitsforscher.

Weiterhin viele Bezahlterminals und Geldautomaten verwundbar

"Man kann die Firmware modifizieren und zum Beispiel den Preis auf einen Dollar ändern, auch wenn der Bildschirm anzeigt, dass man 50 Dollar bezahlen muss. Man kann das Gerät unbrauchbar machen, oder eine Art Ransomware installieren. Es gibt hier eine Menge Möglichkeiten", sagte Rodriguez dem Onlinemagazin Wired. Betroffen seien die Hersteller ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und ein nicht genannter Geldautomatenfabrikant.

Die Hersteller hat der Sicherheitsforscher bereits vor sieben bis zwölf Monaten informiert. Allerdings dürfte es allein wegen der schieren Masse an betroffenen Bezahlterminals weiterhin viele verwundbare Geräte geben, da ihnen häufig nur mit physischem Zugang Updates eingespielt werden können und sie zudem oft nicht regelmäßig aktualisiert werden. "Hunderttausende von Geldautomaten physisch zu patchen, würde sehr viel Zeit in Anspruch nehmen", sagte Rodriguez.