Abo
  • Services:

Security: Kommandozeilen-Zugriff auf Bankterminal dokumentiert

Ein deutscher Sicherheitsforscher hat eine Sicherheitslücke in Geldautomaten-Software gefunden. Die Schwachstelle ermöglichte den Zugriff auf die Kommandozeile des Geräts und das Auslesen zahlreicher kritischer Daten.

Artikel veröffentlicht am ,
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile.
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile. (Bild: Kunz Mejri)

Der Sicherheitsforscher Kunz Mejri hat nach eigenen Angaben eine Lücke in von der Sparkasse genutzten Geldautomaten-Terminals der Firma Wincor Nixdorf gefunden, die den Zugriff auf die Kommandozeile und das Auslesen privater Daten ermöglichte. Das Problem wurde der Sparkasse gemeldet und soll mittlerweile deutschlandweit behoben sein.

Stellenmarkt
  1. Wirecard Global Sales GmbH, Aschheim
  2. Verband der Mercedes-Benz Vertreter e.V., Berlin

Mejri war ausweislich eines Blogposts am 24. April damit beschäftigt, einige Überweisungen an einem SB-Terminal mit Tastatur zu tätigen, als dieses plötzlich ein Update einspielte und seine Karte auswarf. Der Bildschirm zeigte die Nachricht "Vorübergehend außer Betrieb!" an. Mit Hilfe einer nicht näher beschriebenen Tastenkombination gelang es Mejri angeblich, die Kommandozeile des Geräts während der bootChkN-Prozedur aufzurufen.

Durch die Eingabe weiterer Befehle gelang es ihm, den Nutzernamen des Terminals, die IP-Adresse, den Computernamen, Seriennummern, die ID des Geldinstituts und andere hardwarebezogene Informationen auszulesen. Nach eigenen Angaben wäre es mit diesen Informationen ein Leichtes gewesen, das Terminal komplett zu übernehmen.

Die Sparkasse zeigte sich kooperativ

Mejri dokumentierte den gesamten Vorgang mit Fotos und informierte das Team der lokalen Sparkasse in der Nähe von Kassel. Nach rund zwei Wochen soll es den Mitarbeitern der Sparkasse gelungen sein, das Problem nachzustellen und erste Patches einzuspielen. Mit dem Patch werden während des Update-Vorgangs jegliche Interaktionen mit der Tastatur abgeschaltet. Außerdem soll das Log stummgeschaltet sein und vertrauliche Daten wie der Name des Admin-Nutzers werden entfernt. Der Patch wurde zunächst nur lokal bei der Sparkasse Kassel eingespielt und später auf Geldautoamten und SB-Terminals deutschlandweit ausgerollt.

Der Angriff wurde auf einem SB-Terminal demonstriert. Genauere Hinweise zu anderen möglicherweise verwundbar gewesenen Geräten liefert das Team von Evolution Security nicht. Die Sparkasse bedankte sich bei Mejri mit einem Gutschein. Das Team von Evolution Security hebt hervor, dass sich die Sparkasse in dem gesamten Prozess sehr offen und kooperativ verhalten habe.

Erst in der vergangenen Woche war bekanntgeworden, dass mehrere Geldautomaten in Deutschland mit Hilfe eines manipulierten USB-Sticks geplündert wurden. Außerdem gibt es verschiedene auf Geldautomaten spezialisierte Trojaner.



Anzeige
Top-Angebote
  1. (heute u. a. UHD-Fernseher von Samsung, Kameraobjektive, Büro- und Gamingstühle, Produkte von TP...
  2. (u. a. MSI X370 Gaming Plus + AMD Ryzen 5 1600 für 199€ statt ca. 230€ im Vergleich und Cooler...
  3. 159€ (Vergleichspreis 189,90€)
  4. 66,99€ (Vergleichspreis 83,98€) - Aktuell günstigste 500-GB-SSD!

schueppi 04. Nov 2015

Drücken Sie STOP - OK - 5 um sich anzumelden...

der_wahre_hannes 04. Nov 2015

Also haben sie beide gleich lange gebraucht...? :P

dNsl9r 04. Nov 2015

Bitte?

LindaSchmidt 03. Nov 2015

Ich gebe das natürlich nur vor! http://attrition.org/security/rants/vulnerability-lab...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    •  /