Security: Kommandozeilen-Zugriff auf Bankterminal dokumentiert

Ein deutscher Sicherheitsforscher hat eine Sicherheitslücke in Geldautomaten-Software gefunden. Die Schwachstelle ermöglichte den Zugriff auf die Kommandozeile des Geräts und das Auslesen zahlreicher kritischer Daten.

Artikel veröffentlicht am ,
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile.
Ein SB-Terminal der Sparkasse zeigte zahlreiche vertrauliche Daten in der Kommandozeile. (Bild: Kunz Mejri)

Der Sicherheitsforscher Kunz Mejri hat nach eigenen Angaben eine Lücke in von der Sparkasse genutzten Geldautomaten-Terminals der Firma Wincor Nixdorf gefunden, die den Zugriff auf die Kommandozeile und das Auslesen privater Daten ermöglichte. Das Problem wurde der Sparkasse gemeldet und soll mittlerweile deutschlandweit behoben sein.

Mejri war ausweislich eines Blogposts am 24. April damit beschäftigt, einige Überweisungen an einem SB-Terminal mit Tastatur zu tätigen, als dieses plötzlich ein Update einspielte und seine Karte auswarf. Der Bildschirm zeigte die Nachricht "Vorübergehend außer Betrieb!" an. Mit Hilfe einer nicht näher beschriebenen Tastenkombination gelang es Mejri angeblich, die Kommandozeile des Geräts während der bootChkN-Prozedur aufzurufen.

Durch die Eingabe weiterer Befehle gelang es ihm, den Nutzernamen des Terminals, die IP-Adresse, den Computernamen, Seriennummern, die ID des Geldinstituts und andere hardwarebezogene Informationen auszulesen. Nach eigenen Angaben wäre es mit diesen Informationen ein Leichtes gewesen, das Terminal komplett zu übernehmen.

Die Sparkasse zeigte sich kooperativ

Mejri dokumentierte den gesamten Vorgang mit Fotos und informierte das Team der lokalen Sparkasse in der Nähe von Kassel. Nach rund zwei Wochen soll es den Mitarbeitern der Sparkasse gelungen sein, das Problem nachzustellen und erste Patches einzuspielen. Mit dem Patch werden während des Update-Vorgangs jegliche Interaktionen mit der Tastatur abgeschaltet. Außerdem soll das Log stummgeschaltet sein und vertrauliche Daten wie der Name des Admin-Nutzers werden entfernt. Der Patch wurde zunächst nur lokal bei der Sparkasse Kassel eingespielt und später auf Geldautoamten und SB-Terminals deutschlandweit ausgerollt.

Der Angriff wurde auf einem SB-Terminal demonstriert. Genauere Hinweise zu anderen möglicherweise verwundbar gewesenen Geräten liefert das Team von Evolution Security nicht. Die Sparkasse bedankte sich bei Mejri mit einem Gutschein. Das Team von Evolution Security hebt hervor, dass sich die Sparkasse in dem gesamten Prozess sehr offen und kooperativ verhalten habe.

Erst in der vergangenen Woche war bekanntgeworden, dass mehrere Geldautomaten in Deutschland mit Hilfe eines manipulierten USB-Sticks geplündert wurden. Außerdem gibt es verschiedene auf Geldautomaten spezialisierte Trojaner.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schueppi 04. Nov 2015

Drücken Sie STOP - OK - 5 um sich anzumelden...

der_wahre_hannes 04. Nov 2015

Also haben sie beide gleich lange gebraucht...? :P

dNsl9r 04. Nov 2015

Bitte?

LindaSchmidt 03. Nov 2015

Ich gebe das natürlich nur vor! http://attrition.org/security/rants/vulnerability-lab...



Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /