SECURITY1. Juli 2021

Jackpotting per NFC-Schnittstelle: So angreifbar sind Geldautomaten und Bezahlterminals

Beebright / Bigstock

Der Bankraub 2.0 könnte deutlich eleganter vonstatten gehen als in der Vergangenheit. In der Vergangenheit haben Cyberkriminelle Geldautomaten gehackt, indem sie alle möglichen Wege in ihr Innenleben hinter der Frontplatte suchen oder einen USB-Stick an eine versehentlich offene Wartungsschnittstelle steckten. Jetzt hat ein Sicherheitsexperte gezeigt, wie sich mit einer einfachen Software über die NFC-Schnittstelle Geldautomaten und Zahlungsterminals zum Jackpotting, also zur Herausgabe von Geld oder zur Senkung des angeforderten Zahlungsbetrags bringen lassen.

Der Sicherheitsexperte Josep Rodriguez hat Fehler an Geldautomaten und Zahlungsterminals gefunden, mit denen sich Zahlungen über einen einfachen Bug per NFC auslösen lassen. Hierfür wird über eine spezielle App ein Pufferüberlauf ausgelöst, sodass sich entweder der zu zahlende Betrag reduzieren lässt oder sogar ein Geldautomat zum Ausspucken von Geldscheinen bewegen lässt.

Laut Medienberichten funktionierte die Strategie mit Hilfe unterschiedlicher Devices, etwa von ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und mindestens einem weiteren Hersteller. Benötigt wird, wie Rodriguez, der als Berater bei der Sicherheitsfirma IOActive arbeitet, ein handelsüblicher NFC-Chip und eine entsprechend angepasste Android-Software auf dem mobilen Gerät, die die Funkverbindung einer Kreditkarte nachahmt und Schwachstellen in der Firmware der NFC-Systeme ausnutzt.

Auf diese Weise lassen sich einerseits Kassengeräte zum Absturz bringen – was ja schon für Händler, wenn man hieraus ein Erpressungsszenario baut, schädigend genug wäre. Die Kassenterminals ließen sich aber auch hacken, um Kreditkartendaten auszulesen und zu übertragen, den Wert von Transaktionen unsichtbar zu verändern oder gar die Geräte zu sperren und eine Ransomware-Nachricht zu generieren.

Jackpotting: Geldausgabe oder Zahlungsbetrag manipulieren

Wie Rodriguez erklärt, könne man mindestens bei einem Geldautomatenhersteller dafür sorgen, dass das Gerät Bargeld ausgibt, wobei er aber angibt, dass der „Jackpotting“-Hack nur in Kombination mit weiteren Fehlern funktioniert, die er in der Software der Geldautomaten gefunden haben will. Er lehnte es aufgrund von Geheimhaltungsvereinbarungen mit den Geldautomatenherstellern und aus juristischen und ethischen Erwägungen ab, diese Fehler zu spezifizieren oder öffentlich zu machen.

Man kann die Firmware modifizieren und zum Beispiel den Preis auf einen Dollar ändern, auch wenn der Bildschirm anzeigt, dass man 50 Dollar bezahlen muss. Man kann das Gerät unbrauchbar machen, oder eine Art Ransomware installieren. Wenn man den Angriff verkettet und zusätzlich eine spezielle Nutzlast an den Computer eines Geldautomaten schickt, kann man den Jackpot knacken.”

Josep Rodriguez, Sicherheitsberater IOActive

Immerhin hat Rodriguez das Vorgehen gegenüber dem US-Magazin Wired dokumentiert und mit einem Video belegt. Er hat zudem nach eigenen Angaben sämtliche beteiligten Unternehmen vor Monaten bereits über seine Erkenntnisse informiert. Allerdings haben die ein Problem angesichts der großen Zahl an betroffenen Systemen und Varianten und aufgrund der Tatsache, dass viele Kassenterminals und Geldautomaten nicht regelmäßig Software-Updates erhalten. In einem Teil der Fälle würden die Updates und Bugfixes auch nicht remote aufgespielt, sodass ein physisches Aufspielen von Patches erforderlich sei. Nachdem er viele seiner Erkenntnisse ein ganzes Jahr lang unter Verschluss gehalten hat, plant Rodriguez, die technischen Details der Schwachstellen in den kommenden Wochen in einem Webinar zu erläutern.

Jackpotting wohl immer noch möglich

vverve / Bigstock

Zudem zeigt der Fall, wie verwundbar selbst physische Sicherheitssysteme im Payment-Bereich sind, wie auch Embedded-Geräte generell oft nicht ausreichend gesichert werden. Allerdings gibt es ein paar Einschränkungen, zumindest bei der aktuellen Strategie: Ein gehacktes NFC-Lesegerät wäre nur in der Lage, Magnetstreifen-Kreditkartendaten zu stehlen, nicht aber die PIN des Opfers oder die Daten von EMV-Chips.

So erschreckend die Vorstellung ist, so wenig neu ist sie: Sicherheitsexperten haben bereits in der Vergangenheit demonstriert, wie sich Schwachstellen in Geldautomaten nutzen lassen, um die Geldausgabe aus der Ferne auszulösen. Ein IT-Sicherheitsexperte, der mit dem Sachverhalt vertraut ist, erklärt, er habe keinen Zweifel daran, dass ein Hack des NFC-Lesegeräts zur Bargeldausgabe in vielen modernen Geldautomaten führen könnte.

Bekannt ist außerdem, dass viele Bezahlterminals nicht die Größe des Datenpakets (die Application Protocol Data Unit (APDU)) überprüfen, das via NFC von einer Kreditkarte an das Lesegerät gesendet wird. Konkret hat Rodriguez einen Pufferüberlauf produziert, indem er eine speziell modifizierte APDU von seinem NFC-fähigen Android-Telefon schickte, die um ein Vielfaches größer ist als üblich. Der Speicherüberlauf eines Zielgeräts ermöglicht es Hackern, eigenen Code auszuführen. Die von Wired kommunizierten Reaktionen einiger Hersteller von Geldautomaten und Bezahlterminals lassen vermuten, dass nur ein Teil der Probleme beseitigt ist – mehr als nur bedauerlich in Geräten, die mit Bargeldausgabe hantieren oder bargeldlos Beträge verarbeiten.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert