• IT-Karriere:
  • Services:

Xpient: Security-Berater hackt Kasse mit dem Smartphone

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Artikel veröffentlicht am ,
An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Der Security-Experte Matt Bergin hat eine Lücke bei dem Kassensoftwarehersteller Xpient entdeckt, die es ermöglicht, durch das Senden eines kurzen Codes vom Smartphone Kassen zu öffnen. Dies berichtet die New York Times unter Berufung auf den Experten, der Security Consultant bei dem Unternehmen Core Security ist. Das Unternehmen hat den Bericht bestätigt.

Stellenmarkt
  1. VerbaVoice GmbH, München
  2. DATAGROUP Köln GmbH, Leverkusen

Zum Öffnen der Kasse sei nur das Senden von zwei Zeichen nötig, sagte Bergin der Zeitung. "Es war sehr trivial", so Bergin, der mit Reverse Engineering die Lücke fand. Er habe erwartet, in der Software eine verschlüsselte Schicht oder einen Passwortschutz zu finden, den er erst brechen müsse. Doch zu seiner Überraschung war dem nicht so. Die Kassenschublade habe sich ganz einfach öffnen lassen.

Xpient-Chef Christopher Sebes sagte der New York Times, dass das Unternehmen einen Patch bereitgestellt habe, den sich die Kunden herunterladen könnten. Laut Sebes sei der Angriff aber nicht möglich, wenn der Kassenbetreiber die Windows Firewall aktiviert hätte. Wer einfach die "No Sale"-Taste drückt, könne aber auch auf diesem Weg die Geldschublade jederzeit öffnen.

Im Juli 2012 wurde berichtet, dass Hacker EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen können. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angegriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Der IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte: "Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen."

Der Angriff könne nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 69,99€ (Vergleichspreis 103,99€)

Krakatau 23. Jul 2013

Letzte Woche hat jemand auf meinem Namen über die Netto-App für insgesamt 220 Euro...

Hu5eL 12. Jun 2013

Dachte der Datenaustausch sollte mittels verschlüsselung (private-key) durchgeführt...

itsame 08. Jun 2013

Nein kann man nicht. Die sind meistens Passwort geschützt. In der Regel gehen die nur bei...

itsame 07. Jun 2013

Vermutlich gab es Bufferoverflows. Die Kassen dachten es kommen normale EANs und dann...

DrIGGI 07. Jun 2013

Ich frage mich eher wie das mit nur 2 Zeichen gehen soll


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
Indiegames-Rundschau: Abenteuer zwischen Horror und Humor
Indiegames-Rundschau
Abenteuer zwischen Horror und Humor

Außerdische reagieren im Strategiespiel Phoenix Point gezielt auf unsere Taktiken, GTFO lässt uns schleichen und das dezent an Portal erinnernde Superliminal schmunzeln: Golem.de stellt die besten aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Der letzte Kampf des alten Cops
  2. Indiegames-Rundschau Killer trifft Gans
  3. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln

30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

    •  /