• IT-Karriere:
  • Services:

Security: Kommandozeilen-Zugriff auf Bankterminal dokumentiert

Ein deutscher Sicherheitsforscher hat eine Sicherheitslücke in Geldautomaten-Software gefunden. Die Schwachstelle ermöglichte den Zugriff auf die Kommandozeile des Geräts und das Auslesen zahlreicher kritischer Daten.

Artikel veröffentlicht am ,
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile.
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile. (Bild: Kunz Mejri)

Der Sicherheitsforscher Kunz Mejri hat nach eigenen Angaben eine Lücke in von der Sparkasse genutzten Geldautomaten-Terminals der Firma Wincor Nixdorf gefunden, die den Zugriff auf die Kommandozeile und das Auslesen privater Daten ermöglichte. Das Problem wurde der Sparkasse gemeldet und soll mittlerweile deutschlandweit behoben sein.

Stellenmarkt
  1. Helios IT Service GmbH, Berlin-Buch
  2. VisCircle GmbH, Hannover

Mejri war ausweislich eines Blogposts am 24. April damit beschäftigt, einige Überweisungen an einem SB-Terminal mit Tastatur zu tätigen, als dieses plötzlich ein Update einspielte und seine Karte auswarf. Der Bildschirm zeigte die Nachricht "Vorübergehend außer Betrieb!" an. Mit Hilfe einer nicht näher beschriebenen Tastenkombination gelang es Mejri angeblich, die Kommandozeile des Geräts während der bootChkN-Prozedur aufzurufen.

Durch die Eingabe weiterer Befehle gelang es ihm, den Nutzernamen des Terminals, die IP-Adresse, den Computernamen, Seriennummern, die ID des Geldinstituts und andere hardwarebezogene Informationen auszulesen. Nach eigenen Angaben wäre es mit diesen Informationen ein Leichtes gewesen, das Terminal komplett zu übernehmen.

Die Sparkasse zeigte sich kooperativ

Mejri dokumentierte den gesamten Vorgang mit Fotos und informierte das Team der lokalen Sparkasse in der Nähe von Kassel. Nach rund zwei Wochen soll es den Mitarbeitern der Sparkasse gelungen sein, das Problem nachzustellen und erste Patches einzuspielen. Mit dem Patch werden während des Update-Vorgangs jegliche Interaktionen mit der Tastatur abgeschaltet. Außerdem soll das Log stummgeschaltet sein und vertrauliche Daten wie der Name des Admin-Nutzers werden entfernt. Der Patch wurde zunächst nur lokal bei der Sparkasse Kassel eingespielt und später auf Geldautoamten und SB-Terminals deutschlandweit ausgerollt.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der Angriff wurde auf einem SB-Terminal demonstriert. Genauere Hinweise zu anderen möglicherweise verwundbar gewesenen Geräten liefert das Team von Evolution Security nicht. Die Sparkasse bedankte sich bei Mejri mit einem Gutschein. Das Team von Evolution Security hebt hervor, dass sich die Sparkasse in dem gesamten Prozess sehr offen und kooperativ verhalten habe.

Erst in der vergangenen Woche war bekanntgeworden, dass mehrere Geldautomaten in Deutschland mit Hilfe eines manipulierten USB-Sticks geplündert wurden. Außerdem gibt es verschiedene auf Geldautomaten spezialisierte Trojaner.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,50€
  2. 2,49€
  3. 7,99€
  4. 17,49€

schueppi 04. Nov 2015

Drücken Sie STOP - OK - 5 um sich anzumelden...

der_wahre_hannes 04. Nov 2015

Also haben sie beide gleich lange gebraucht...? :P

dNsl9r 04. Nov 2015

Bitte?

LindaSchmidt 03. Nov 2015

Ich gebe das natürlich nur vor! http://attrition.org/security/rants/vulnerability-lab...


Folgen Sie uns
       


Zoom Escaper ausprobiert

Der Zoom Escaper ist eine Möglichkeit, sich aus Videokonferenzen zu schummeln. Wir haben ihn ausprobiert.

Zoom Escaper ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /