Abo
  • IT-Karriere:

Security: Kommandozeilen-Zugriff auf Bankterminal dokumentiert

Ein deutscher Sicherheitsforscher hat eine Sicherheitslücke in Geldautomaten-Software gefunden. Die Schwachstelle ermöglichte den Zugriff auf die Kommandozeile des Geräts und das Auslesen zahlreicher kritischer Daten.

Artikel veröffentlicht am ,
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile.
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile. (Bild: Kunz Mejri)

Der Sicherheitsforscher Kunz Mejri hat nach eigenen Angaben eine Lücke in von der Sparkasse genutzten Geldautomaten-Terminals der Firma Wincor Nixdorf gefunden, die den Zugriff auf die Kommandozeile und das Auslesen privater Daten ermöglichte. Das Problem wurde der Sparkasse gemeldet und soll mittlerweile deutschlandweit behoben sein.

Stellenmarkt
  1. Advantest Europe GmbH, Böblingen
  2. Vodafone GmbH, Ratingen

Mejri war ausweislich eines Blogposts am 24. April damit beschäftigt, einige Überweisungen an einem SB-Terminal mit Tastatur zu tätigen, als dieses plötzlich ein Update einspielte und seine Karte auswarf. Der Bildschirm zeigte die Nachricht "Vorübergehend außer Betrieb!" an. Mit Hilfe einer nicht näher beschriebenen Tastenkombination gelang es Mejri angeblich, die Kommandozeile des Geräts während der bootChkN-Prozedur aufzurufen.

Durch die Eingabe weiterer Befehle gelang es ihm, den Nutzernamen des Terminals, die IP-Adresse, den Computernamen, Seriennummern, die ID des Geldinstituts und andere hardwarebezogene Informationen auszulesen. Nach eigenen Angaben wäre es mit diesen Informationen ein Leichtes gewesen, das Terminal komplett zu übernehmen.

Die Sparkasse zeigte sich kooperativ

Mejri dokumentierte den gesamten Vorgang mit Fotos und informierte das Team der lokalen Sparkasse in der Nähe von Kassel. Nach rund zwei Wochen soll es den Mitarbeitern der Sparkasse gelungen sein, das Problem nachzustellen und erste Patches einzuspielen. Mit dem Patch werden während des Update-Vorgangs jegliche Interaktionen mit der Tastatur abgeschaltet. Außerdem soll das Log stummgeschaltet sein und vertrauliche Daten wie der Name des Admin-Nutzers werden entfernt. Der Patch wurde zunächst nur lokal bei der Sparkasse Kassel eingespielt und später auf Geldautoamten und SB-Terminals deutschlandweit ausgerollt.

Der Angriff wurde auf einem SB-Terminal demonstriert. Genauere Hinweise zu anderen möglicherweise verwundbar gewesenen Geräten liefert das Team von Evolution Security nicht. Die Sparkasse bedankte sich bei Mejri mit einem Gutschein. Das Team von Evolution Security hebt hervor, dass sich die Sparkasse in dem gesamten Prozess sehr offen und kooperativ verhalten habe.

Erst in der vergangenen Woche war bekanntgeworden, dass mehrere Geldautomaten in Deutschland mit Hilfe eines manipulierten USB-Sticks geplündert wurden. Außerdem gibt es verschiedene auf Geldautomaten spezialisierte Trojaner.



Anzeige
Top-Angebote
  1. 19,99€
  2. 124,99€ (Bestpreis!)
  3. 61,80€
  4. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

schueppi 04. Nov 2015

Drücken Sie STOP - OK - 5 um sich anzumelden...

der_wahre_hannes 04. Nov 2015

Also haben sie beide gleich lange gebraucht...? :P

dNsl9r 04. Nov 2015

Bitte?

LindaSchmidt 03. Nov 2015

Ich gebe das natürlich nur vor! http://attrition.org/security/rants/vulnerability-lab...


Folgen Sie uns
       


Probefahrt mit dem e.Go Life

Der e.Go Life ist ein elektrisch angetriebener Kleinwagen des neuen Aachener Automobilherstellers e.Go Mobile. Wir haben eine Probefahrt gemacht.

Probefahrt mit dem e.Go Life Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

    •  /