Abo
  • Services:
Anzeige
An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Xpient: Security-Berater hackt Kasse mit dem Smartphone

An der Kasse bei Walmart in Phoenix, Arizona
An der Kasse bei Walmart in Phoenix, Arizona (Bild: Joshua Lott/Reuters)

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Der Security-Experte Matt Bergin hat eine Lücke bei dem Kassensoftwarehersteller Xpient entdeckt, die es ermöglicht, durch das Senden eines kurzen Codes vom Smartphone Kassen zu öffnen. Dies berichtet die New York Times unter Berufung auf den Experten, der Security Consultant bei dem Unternehmen Core Security ist. Das Unternehmen hat den Bericht bestätigt.

Anzeige

Zum Öffnen der Kasse sei nur das Senden von zwei Zeichen nötig, sagte Bergin der Zeitung. "Es war sehr trivial", so Bergin, der mit Reverse Engineering die Lücke fand. Er habe erwartet, in der Software eine verschlüsselte Schicht oder einen Passwortschutz zu finden, den er erst brechen müsse. Doch zu seiner Überraschung war dem nicht so. Die Kassenschublade habe sich ganz einfach öffnen lassen.

Xpient-Chef Christopher Sebes sagte der New York Times, dass das Unternehmen einen Patch bereitgestellt habe, den sich die Kunden herunterladen könnten. Laut Sebes sei der Angriff aber nicht möglich, wenn der Kassenbetreiber die Windows Firewall aktiviert hätte. Wer einfach die "No Sale"-Taste drückt, könne aber auch auf diesem Weg die Geldschublade jederzeit öffnen.

Im Juli 2012 wurde berichtet, dass Hacker EC-Kartendaten samt Geheimnummern an einem Gerät von Verifone auslesen können. Das Kartenlesegerät wurde von außen über die LAN-Verbindung angegriffen und Kartendaten sowie Geheimnummern kopiert. Damit ließen sich neue EC-Karten produzieren, um im Ausland Geld abzuheben oder im Internet einzukaufen.

Der IT-Experte Karsten Nohl von der Berliner Firma Security Research Labs sagte: "Der Kartenleser kann mittels Pufferüberlauf im Netzwerk-Stack angegriffen werden, um den Applikationsprozessor zu übernehmen. Der Angreifer bekam so Zugang zum Terminal und konnte den Applikationsprozessor, das Eingabefeld für die PIN und das Display kontrollieren und die PIN abfangen."

Der Angriff könne nur dann über das Internet erfolgen, wenn Public-IPs für solche Terminals vergeben werden, was praktisch nicht passiert. Nohl: "Wenn es aber gelingt, über das Internet irgendeinen Computer in dem Netzwerk zu hacken, dann können natürlich auch alle Kassenterminals gekapert werden."


eye home zur Startseite
Krakatau 23. Jul 2013

Letzte Woche hat jemand auf meinem Namen über die Netto-App für insgesamt 220 Euro...

Hu5eL 12. Jun 2013

Dachte der Datenaustausch sollte mittels verschlüsselung (private-key) durchgeführt...

itsame 08. Jun 2013

Nein kann man nicht. Die sind meistens Passwort geschützt. In der Regel gehen die nur bei...

itsame 07. Jun 2013

Vermutlich gab es Bufferoverflows. Die Kassen dachten es kommen normale EANs und dann...

DrIGGI 07. Jun 2013

Ich frage mich eher wie das mit nur 2 Zeichen gehen soll



Anzeige

Stellenmarkt
  1. Zurich Gruppe Deutschland, Bonn
  2. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, München
  3. Elektror airsystems GmbH, Ostfildern bei Stuttgart
  4. EidosMedia GmbH, Frankfurt am Main


Anzeige
Spiele-Angebote
  1. 88,67€ (nur für Prime-Kunden)
  2. (-10%) 35,99€

Folgen Sie uns
       


  1. HMD Global

    Drei neue Nokia-Smartphones laufen mit Android One

  2. Nokia 1 im Hands On

    Android-Go-Smartphone mit Xpress-On-Covern kostet 100 Euro

  3. Nokia 8110 4G im Hands On

    Das legendäre Matrix-Handy kehrt zurück

  4. Galaxy S9 und S9+ im Hands On

    Samsungs neue Smartphones kommen mit variabler Blende

  5. Energizer P16K Pro

    Seltsames Smartphone mit 60-Wh-Riesenakku

  6. Matebook X Pro im Hands on

    Huaweis Notebook kommt mit Nvidia-Grafikkarte

  7. Apple

    iTunes Store sperrt alte Geräte und Betriebssysteme aus

  8. Alcatel 1T

    Oreo-Tablet mit 7-Zoll-Display kostet 70 Euro

  9. Notebook und Tablets

    Huawei stellt neues Matebook und Mediapads vor

  10. V30S Thinq

    LG zeigt sein erstes Thinq-Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Indiegames-Rundschau: Tiefseemonster, Cyberpunks und ein Kelte
Indiegames-Rundschau
Tiefseemonster, Cyberpunks und ein Kelte
  1. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass
  2. Games 2017 Die besten Indiespiele des Jahres

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Irgendwie fehlen mir grade die interessanten...

    Furi | 02:45

  2. Re: 11 Jahre Support ...

    ChMu | 02:01

  3. Re: BANAAAAANAAAAA!

    User_x | 01:50

  4. Re: 18,5 : 9

    Prinzeumel | 01:49

  5. Re: Das sagt eine Schlange auch

    teenriot* | 01:38


  1. 22:11

  2. 20:17

  3. 19:48

  4. 18:00

  5. 17:15

  6. 16:41

  7. 15:30

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel