Terminals können übernommen werden

Die mangelhaften Sicherheitsmechanismen von ZVT ermöglichen ausweislich einer Präsentation des Hacks, die uns vorliegt, auch die komplette Übernahme von Terminals. Angreifer könnten das Terminal so umprogrammieren, dass die Einnahmen an sie und nicht den eigentlichen Betreiber gesendet werden. Dazu ist es notwendig, das Passwort des Terminals zu kennen. Das ist jedoch kein allzu großes Problem: Viele Terminals benutzen ein einheitliches, statisches Passwort - das vor einigen Jahren zusammen mit einem Handbuch der Geräte veröffentlicht wurde.

Stellenmarkt
  1. IT-Mitarbeiter / Fachinformatiker (m/w/d) First-Level-Support
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim/Karlsruhe)
  2. Mitarbeiter (m/w/d) IT-Systemtechnik
    Evangelische Schulstiftung in der EKBO, Berlin
Detailsuche

Der Angriff von Nohl und seinen Kollegen geht jedoch über den lokalen Zugriff auf die Geräte hinaus: Das Poseidon-Protokoll sorgt für die Anbindung an den Zahlungsdienstleister über das Netz. Auch hier gibt es große Sicherheitsprobleme. "Die beiden Angriffe sind voneinander unabhängig" sagt Nohl, aber sie könnten natürlich kombiniert werden. Poseidon nutzt vorab getauschte Schlüssel, ähnlich wie viele VPNs. Viele Terminals benutzen jedoch genau den gleichen vorab getauschten Schlüssel - wer also Zugriff auf ein Gerät hat, kann viele andere ebenfalls manipulieren. Poseidon ist nach Angaben der Hacker der De-Facto-Standard in Deutschland, wird aber auch in Frankreich, Luxemburg und Island genutzt. Für den Hack werden drei Informationen benötigt: das bekannte Passwort, die ID des anzugreifenden Terminals und der TCP-Port.

Das Passwort gibt es bei Google

Das Passwort lässt sich ergoogeln. Auch die Geräte-ID ist leicht herauszubekommen: Auf jedem Kassenzettel steht, wenn mit Karte bezahlt wurde, die Geräte-ID des jeweiligen Terminals. Angreifer könnten sich diese ID zunutze machen, um ein Terminal im eigenen Besitz als legitimes Gerät auszugeben. Den TCP-Port schließlich ermitteln die Forscher durch eine nicht näher beschriebene Brute-Force-Attacke.

Sind die Voraussetzungen gegeben, kann der Angreifer sich selbst im Namen des Terminals Gutschriften ausstellen. Denn die Geräte prüfen nicht, ob für eine Gutschrift zuvor wirklich eine Einzahlung beziehungsweise eine Transaktion vorgelegen hat. Die Gutschriften können auf vom Angreifer angegebene Bankkonten erfolgen. Alternativ ist es auch möglich, Prepaid-Guthaben für Mobiltelefone zu generieren.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Die Deutsche Kreditwirtschaft (DK) sieht keine großen Gefahren durch den Hack. Zeit Online sagten sie: Beim 32C3 sollen "Angriffsszenarien auf Kartenzahlungsterminals vorgestellt werden, die unter Laborbedingungen, das heißt theoretisch, möglich sind. Die DK hat diese Angriffe geprüft." Schäden für Karteninhaber seien jedoch ausgeschlossen. Tatsächlich sind in den vorgestellten Angriffsszenarien vor allem die Händler die Geschädigten.

Noch haben die Banken Zeit, die Probleme zu lösen

Nohl kommentiert die Antwort wie folgt: "Die Banken sollten froh sein, dass es bislang keine Angriffe gibt. Noch haben sie vermutlich einige Wochen oder Monate lang Zeit, um die Probleme zu beheben." Als kurzfristige Lösung schlagen die Sicherheitsforscher vor, die Möglichkeit zum Ausstellen von Gutschriften nur dann zu aktivieren, wenn sie wirklich gebraucht wird - sie ist voreingestellt immer aktiv.

Auch die Funktion zum Ausstellen von Prepaid-Guthaben kann deaktiviert werden. Die anderen notwendigen Änderungen würden wohl etwas mehr Zeit benötigen. Nohl freut sich auf internationale Hacker, die verschiedene Implementationen des Iso-Standards 8583, auf dem Poseidon basiert, testen. "Bis zum Beginn des 32C3 kann da noch viel passieren", sagt er.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security: Hacker übernehmen EC-Terminals
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /