NFC: Geldautomaten und Bezahlterminals mit dem Smartphone gehackt

Einem Forscher ist es gelungen, Geldautomaten per Android-App zur Bargeld-Ausgabe zu bringen und am Bezahlterminal den Preis zu reduzieren.

Artikel veröffentlicht am ,
Per Smartphone den Geldautomaten hacken und Geld ausgespuckt bekommen? Das geht!
Per Smartphone den Geldautomaten hacken und Geld ausgespuckt bekommen? Das geht! (Bild: Peggy und Marco Lachmann-Anke/Pixabay)

Seit einigen Jahren kann mit Smartphones, EC- und Kreditkarten kontaktlos per NFC-Chip bezahlt werden. Dem Forscher Josep Rodriguez von der Sicherheitsfirma IOActive ist es nun gelungen, Geldautomaten und Bezahlterminals über die NFC-Schnittstelle zu hacken. Betroffen sind weltweit Millionen Geräte.

Stellenmarkt
  1. Mitarbeiter / Mitarbeiterin Hosting / Cloud Services
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. IT Specialist Messaging - Exchange (m/w/d)
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
Detailsuche

Um die Sicherheitslücken auszunutzen, hat er eine Android-App entwickelt, welche die Funkverbindungen von Kreditkarten nachahmen und Schwachstellen in der Firmware der NFC-Chips in den Bezahlterminals oder Geldautomaten ausnutzen kann. Auf diese Weise kann er beispielsweise Bezahlgeräte zum Absturz bringen oder sie sperren und eine Ransomware-Nachricht anzeigen.

Mit der App kann er auch Kartendaten sammeln und übertragen sowie heimlich den Wert einer Transaktion ändern. Allerdings weist der Sicherheitsforscher Karsten Nohl, der Rodriguez' Arbeit überprüft hat, darauf hin, dass ein gehacktes NFC-Lesegerät nur in der Lage wäre, Magnetstreifen-Kreditkartendaten zu stehlen. An die PIN des Opfers oder die Daten des EMV-Chips könne auf diese Weise nicht zugegriffen werden.

Mindestens eine Geldautomaten-Marke könne er zudem dazu bringen, Bargeld auszugeben, sagte Rodriguez. Diese Art von Angriff wird Jackpotting genannt, soll allerdings im vorliegenden Fall nur mit einer Reihe von weiteren Fehlern möglich sein, die Rodriguez in der Software des Geldautomaten entdeckt haben will. Aufgrund von Geheimhaltungsvereinbarungen mit den Herstellern könne er keine Details zu den Sicherheitslücken nennen, erklärte der Sicherheitsforscher.

Weiterhin viele Bezahlterminals und Geldautomaten verwundbar

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

"Man kann die Firmware modifizieren und zum Beispiel den Preis auf einen Dollar ändern, auch wenn der Bildschirm anzeigt, dass man 50 Dollar bezahlen muss. Man kann das Gerät unbrauchbar machen, oder eine Art Ransomware installieren. Es gibt hier eine Menge Möglichkeiten", sagte Rodriguez dem Onlinemagazin Wired. Betroffen seien die Hersteller ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und ein nicht genannter Geldautomatenfabrikant.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Hersteller hat der Sicherheitsforscher bereits vor sieben bis zwölf Monaten informiert. Allerdings dürfte es allein wegen der schieren Masse an betroffenen Bezahlterminals weiterhin viele verwundbare Geräte geben, da ihnen häufig nur mit physischem Zugang Updates eingespielt werden können und sie zudem oft nicht regelmäßig aktualisiert werden. "Hunderttausende von Geldautomaten physisch zu patchen, würde sehr viel Zeit in Anspruch nehmen", sagte Rodriguez.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Globale Erwärmung XXL
Wenn die Erde unbewohnbar wird

In spätestens fünf Milliarden Jahren wird unsere Sonne zu einem roten Riesen, der die Erde überhitzen oder sogar verschlucken wird. Wohin könnte eine menschliche Zivilisation dann ausweichen?
Von Miroslav Stimac

Globale Erwärmung XXL: Wenn die Erde unbewohnbar wird
Artikel
  1. Elektromobilität: Großbritannien plant O-Lkw-Projekt
    Elektromobilität
    Großbritannien plant O-Lkw-Projekt

    Ab 2040 dürfen in Großbritannien keine Verbrenner-Lkw mehr verkauft werden. Die Regierung testet elektrische Alternativen.

  2. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

  3. ZV-E10: Sony bringt spiegellose Systemkamera für Youtuber
    ZV-E10
    Sony bringt spiegellose Systemkamera für Youtuber

    Die Sony ZV-E10 ist eine neue Kamera mit Wechselobjektiven, umklappbarem Display und anderen Funktionen, die sie für Vlogger interessant macht.

Truster 29. Jun 2021 / Themenstart

Ich auch :D

Engel 29. Jun 2021 / Themenstart

Das stimmt schon seit Jahren nicht mehr. Ich bin mir nicht mehr 100 prozentig sicher...

gadthrawn 29. Jun 2021 / Themenstart

Oh, das hat durchaus nicht jeder Geldautomat. In Deutschland sollten sie das haben. Ist...

Casio 28. Jun 2021 / Themenstart

Beides glaube ich nicht: -die meisten Unternehmen versuchen in vielen Bereichen eine...

Pantsu 28. Jun 2021 / Themenstart

Verdammt, alle coolen Bankhacks kann ich niemals nutzen, dabei schulden die mir noch...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /