NFC: Geldautomaten und Bezahlterminals mit dem Smartphone gehackt

Einem Forscher ist es gelungen, Geldautomaten per Android-App zur Bargeld-Ausgabe zu bringen und am Bezahlterminal den Preis zu reduzieren.

Artikel veröffentlicht am ,
Per Smartphone den Geldautomaten hacken und Geld ausgespuckt bekommen? Das geht!
Per Smartphone den Geldautomaten hacken und Geld ausgespuckt bekommen? Das geht! (Bild: Peggy und Marco Lachmann-Anke/Pixabay)

Seit einigen Jahren kann mit Smartphones, EC- und Kreditkarten kontaktlos per NFC-Chip bezahlt werden. Dem Forscher Josep Rodriguez von der Sicherheitsfirma IOActive ist es nun gelungen, Geldautomaten und Bezahlterminals über die NFC-Schnittstelle zu hacken. Betroffen sind weltweit Millionen Geräte.

Stellenmarkt
  1. Consultant IT-Controlling (m/w/d)
    Mekyska Management Consultants GmbH, Frankfurt am Main, Pforzheim (Home-Office)
  2. Security Manager Analyse und Konzeption (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Um die Sicherheitslücken auszunutzen, hat er eine Android-App entwickelt, welche die Funkverbindungen von Kreditkarten nachahmen und Schwachstellen in der Firmware der NFC-Chips in den Bezahlterminals oder Geldautomaten ausnutzen kann. Auf diese Weise kann er beispielsweise Bezahlgeräte zum Absturz bringen oder sie sperren und eine Ransomware-Nachricht anzeigen.

Mit der App kann er auch Kartendaten sammeln und übertragen sowie heimlich den Wert einer Transaktion ändern. Allerdings weist der Sicherheitsforscher Karsten Nohl, der Rodriguez' Arbeit überprüft hat, darauf hin, dass ein gehacktes NFC-Lesegerät nur in der Lage wäre, Magnetstreifen-Kreditkartendaten zu stehlen. An die PIN des Opfers oder die Daten des EMV-Chips könne auf diese Weise nicht zugegriffen werden.

Mindestens eine Geldautomaten-Marke könne er zudem dazu bringen, Bargeld auszugeben, sagte Rodriguez. Diese Art von Angriff wird Jackpotting genannt, soll allerdings im vorliegenden Fall nur mit einer Reihe von weiteren Fehlern möglich sein, die Rodriguez in der Software des Geldautomaten entdeckt haben will. Aufgrund von Geheimhaltungsvereinbarungen mit den Herstellern könne er keine Details zu den Sicherheitslücken nennen, erklärte der Sicherheitsforscher.

Weiterhin viele Bezahlterminals und Geldautomaten verwundbar

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

"Man kann die Firmware modifizieren und zum Beispiel den Preis auf einen Dollar ändern, auch wenn der Bildschirm anzeigt, dass man 50 Dollar bezahlen muss. Man kann das Gerät unbrauchbar machen, oder eine Art Ransomware installieren. Es gibt hier eine Menge Möglichkeiten", sagte Rodriguez dem Onlinemagazin Wired. Betroffen seien die Hersteller ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und ein nicht genannter Geldautomatenfabrikant.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Hersteller hat der Sicherheitsforscher bereits vor sieben bis zwölf Monaten informiert. Allerdings dürfte es allein wegen der schieren Masse an betroffenen Bezahlterminals weiterhin viele verwundbare Geräte geben, da ihnen häufig nur mit physischem Zugang Updates eingespielt werden können und sie zudem oft nicht regelmäßig aktualisiert werden. "Hunderttausende von Geldautomaten physisch zu patchen, würde sehr viel Zeit in Anspruch nehmen", sagte Rodriguez.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Truster 29. Jun 2021

Ich auch :D

Engel 29. Jun 2021

Das stimmt schon seit Jahren nicht mehr. Ich bin mir nicht mehr 100 prozentig sicher...

gadthrawn 29. Jun 2021

Oh, das hat durchaus nicht jeder Geldautomat. In Deutschland sollten sie das haben. Ist...

Casio 28. Jun 2021

Beides glaube ich nicht: -die meisten Unternehmen versuchen in vielen Bereichen eine...

Pantsu 28. Jun 2021

Verdammt, alle coolen Bankhacks kann ich niemals nutzen, dabei schulden die mir noch...



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /