NFC-Fehler lassen Forscher Geldautomaten hacken, indem sie ein Telefon schwenken ATM
NFC-Fehler lassen Forscher Geldautomaten hacken, indem sie ein Telefon
schwenken
ATM
Durch die Kombination von NFC-Fehlern mit
Geldautomaten-Fehlern war der Forscher sogar in der Lage, einige
Automaten dazu zu gebracht, Bargeld auszuspucken. Foto: Alvaro
Bueno/ALAMY
Seit Jahren ist die Sicherheit Forscher und
Cyberkriminelle haben Geldautomaten gehackt, indem sie alle möglichen
Wege zu ihren Innereien, vom Öffnen einer Frontplatte und Kleben eines
Daumenlaufwerks in einen USB-Anschluss bis hin zum Bohren eines Lochs,
das interne Verkabelung freilegt. Nun hat ein Forscher eine Sammlung von
Bugs gefunden, die es ihm ermöglichen, Geldautomaten – zusammen mit
einer Vielzahl von Point-of-Sale-Terminals – auf eine neue Art und Weise
zu hacken: mit einer Welle seines Telefons über einem kontaktlosen
Kreditkartenleser.
Josep Rodriguez, Forscher und Berater bei der
Sicherheitsfirma IOActive, hat das letzte Jahr damit verbracht,
Schwachstellen in den so genannten Nahfeld-Kommunikationsleserchips zu
graben und zu melden, die in Millionen von Geldautomaten und
Point-of-Sale-Systemen weltweit verwendet werden. NFC-Systeme sind das,
was Sie eine Kreditkarte über einen Leser winken können – anstatt sie zu
streichen oder einzufügen –, um eine Zahlung zu tätigen oder Geld aus
einem Geldautomaten zu extrahieren. Sie finden sie auf unzähligen Laden-
und Restauranttheken, Automaten, Taxis und Parkuhren rund um den Globus.
Jetzt hat Rodriguez eine Android-App
entwickelt, mit der sein Smartphone diese Kreditkarten-Funkkommunikation
imitieren und Fehler in der Firmware der NFC-Systeme ausnutzen kann. Mit
einer Welle seines Telefons kann er eine Vielzahl von Fehlern ausnutzen,
um Point-of-Sale-Geräte abzustürzen, sie zu hacken, um Kreditkartendaten
zu sammeln und zu übertragen, unsichtbar den Wert von Transaktionen zu
ändern und sogar die Geräte zu sperren, während eine
Ransomware-Nachricht angezeigt wird. Rodriguez sagt, dass er sogar
mindestens eine Marke von Geldautomaten zwingen kann, Bargeld auszugeben
– obwohl dieser "Jackpotting"-Hack nur in Kombination mit zusätzlichen
Fehlern funktioniert, sagt er, dass er in der Software der Geldautomaten
gefunden wurde. Er lehnte es ab, diese Mängel aufgrund von
Geheimhaltungsvereinbarungen mit den Geldautomatenherstellern öffentlich
zu spezifizieren oder offenzulegen.
"Sie können die Firmware ändern und den Preis
auf einen Dollar ändern, zum Beispiel, auch wenn der Bildschirm zeigt,
dass Sie 50 Dollar bezahlen. Sie können das Gerät nutzlos machen, oder
eine Art Von Ransomware installieren. Hier gibt es viele Möglichkeiten",
sagt Rodriguez über die Point-of-Sale-Attacken, die er entdeckt hat.
"Wenn Sie den Angriff verketten und auch eine spezielle Nutzlast an den
Computer eines Geldautomaten senden, können Sie den Geldautomaten
jackpoten – wie Auszahlungen, indem Sie einfach auf Ihr Telefon tippen."
Rodriguez sagt, er habe die betroffenen
Anbieter – darunter ID Tech, Ingenico, Verifone, Crane Payment
Innovations, BBPOS, Nexgo und den ungenannten Geldautomatenanbieter –
vor 7 Monaten und einem Jahr auf seine Ergebnisse aufmerksam gemacht.
Dennoch warnt er davor, dass die schiere Anzahl der betroffenen Systeme
und die Tatsache, dass viele Point-of-Sale-Terminals und Geldautomaten
nicht regelmäßig Software-Updates erhalten – und in vielen Fällen
physischen Zugriff auf Updates erfordern – bedeuten, dass viele dieser
Geräte wahrscheinlich anfällig bleiben. "Wenn man so viele
Hunderttausende Geldautomaten physisch abstellt, würde es viel Zeit in
Derstadt nehmen", sagt Rodriguez.
Als Demonstration dieser anhaltenden
Schwachstellen teilte Rodriguez ein Video mit WIRED, in dem er ein
Smartphone über den NFC-Leser eines Geldautomaten auf der Straße in
Madrid schwenkt, wo er lebt, und die Maschine dazu bringt, eine
Fehlermeldung anzuzeigen. Der NFC-Leser scheint abzustürzen und liest
seine Kreditkarte nicht mehr, wenn er sie das nächste Jahr an der
Maschine berührt. (Rodriguez bat WIRED, das Video nicht aus Angst vor
einer rechtlichen Haftung zu veröffentlichen. Er lieferte auch keine
Video-Demo eines Jackpotting-Angriffs, weil er, wie er sagt, sie nur
legal auf Maschinen testen konnte, die im Rahmen der
IoActive-Sicherheitsberatung an den betroffenen Geldautomatenanbieter
erhalten wurden, mit dem IOActive eine NDA unterzeichnet hat.)
Die Ergebnisse sind "hervorragende Forschung
über die Verwundbarkeit von Software, die auf eingebetteten Geräten
läuft", sagt Karsten Nohl, Gründer der Sicherheitsfirma SRLabs und ein
bekannter Firmware-Hacker, der Rodriguez' Arbeit überprüft hat. Aber
Nohl weist auf einige Nachteile hin, die seine Praktikabilität für reale
Diebe reduzieren. Ein gehackter NFC-Leser wäre nur in der Lage,
Mag-Stripe Kreditkartendaten zu stehlen, nicht die PIN des Opfers oder
die Daten von EMV-Chips. Und die Tatsache, dass der
Geldautomaten-Cashout-Trick eine zusätzliche, deutliche Verwundbarkeit
im Code eines Zielgeldautomaten erfordern würde, ist keine kleine
Einschränkung, sagt Nohl.
https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/
