Mithilfe von NFC-fähigen Smartphones konnten Forscher Kassensysteme und Geldautomaten hacken und auf einigen von ihnen benutzerdefinierten Code ausführen.
Obwohl Geldautomaten eine der wenigen Möglichkeiten sind, unterwegs Geld von Ihrem Bankkonto abzuheben, gab es im Laufe der Jahre bekanntermaßen zahlreiche Sicherheitsprobleme. Auch jetzt noch hält ein Hacker nicht viel davon ab, einen Karten-Skimmer an einem Geldautomaten anzubringen, da die meisten Leute nie bemerken werden, dass er dort ist. Natürlich gab es im Laufe der Jahre auch eine Reihe anderer Angriffe, die komplexer waren, aber im Großen und Ganzen sollte man bei der Nutzung eines Geldautomaten immer vorsichtig sein. Jetzt gibt es eine neue Möglichkeit, einen Geldautomaten zu hacken, und dafür ist lediglich ein Smartphone mit NFC erforderlich.
Als Verdrahtet Berichte, Josep Rodriguez ist Forscher und Berater bei IOActive, einem Sicherheitsunternehmen mit Sitz in Seattle, Washington, und hat das letzte Jahr damit verbracht, Schwachstellen in NFC-Lesegeräten zu finden, die in Geldautomaten und Kassensystemen verwendet werden. An vielen Geldautomaten auf der ganzen Welt können Sie Ihre Debit- oder Kreditkarte antippen, um dann Ihre PIN einzugeben und Bargeld abzuheben, anstatt es in den Geldautomaten selbst einführen zu müssen. Das ist zwar bequemer, umgeht aber auch das Problem, dass sich über dem Kartenleser ein physischer Kartenskimmer befindet. Auch kontaktloses Bezahlen an Kassensystemen ist mittlerweile allgegenwärtig.
Hacken von NFC-Lesegeräten
Rodriquez hat eine Android-App entwickelt, mit der sein Telefon die Kreditkartenkommunikation nachahmen und Fehler in der Firmware des NFC-Systems ausnutzen kann. Indem er sein Telefon über das NFC-Lesegerät hält, kann er mehrere Exploits verketten, um Kassengeräte zum Absturz zu bringen und sie zu hacken um Kartendaten zu sammeln und zu übertragen, den Wert von Transaktionen zu ändern und sogar die Geräte mit einer Ransomware-Nachricht zu sperren.
Darüber hinaus sagt Rodriguez, dass er sogar mindestens einen namentlich nicht genannten Geldautomaten dazu zwingen kann, Bargeld auszugeben, obwohl dies nur in Kombination mit Fehlern funktioniert, die er in der Software des Geldautomaten gefunden hat. Das nennt man "Jackpot machen", für die Kriminelle im Laufe der Jahre auf vielfältige Weise versucht haben, sich Zugang zu einem Geldautomaten zu verschaffen, um Bargeld zu stehlen. Aufgrund von Geheimhaltungsvereinbarungen mit den Geldautomatenverkäufern lehnte er es ab, die Marke oder die Methoden zu nennen.
„Sie können die Firmware ändern und den Preis beispielsweise auf einen Dollar ändern, selbst wenn auf dem Bildschirm angezeigt wird, dass Sie 50 Dollar bezahlen.“ Sie können das Gerät unbrauchbar machen oder eine Art Ransomware installieren. „Hier gibt es viele Möglichkeiten“, sagt Rodriguez über die von ihm entdeckten Point-of-Sale-Angriffe. „Wenn Sie den Angriff verketten und außerdem eine spezielle Nutzlast an den Computer eines Geldautomaten senden, können Sie am Geldautomaten einen Jackpot erzielen – wie eine Auszahlung, indem Sie einfach auf Ihr Telefon tippen.“
Quelle: Josep Rodriguez
Zu den betroffenen Anbietern gehören ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und ein ungenannter Geldautomatenanbieter. Sie alle wurden vor sieben Monaten bis einem Jahr alarmiert. Allerdings erhalten die meisten Point-of-Sale-Systeme keine oder nur selten Software-Updates, und es ist wahrscheinlich, dass viele von ihnen dafür einen physischen Zugang benötigen. Daher ist es wahrscheinlich, dass viele von ihnen weiterhin gefährdet sind. „Das physische Patchen so vieler Hunderttausender Geldautomaten würde viel Zeit in Anspruch nehmen.“ Rodriguez sagt.
Um die Schwachstellen zu demonstrieren, hat Rodriguez ein Video mit geteilt Verdrahtet Er zeigt, wie er ein Smartphone über den NFC-Leser eines Geldautomaten in Madrid hält, woraufhin der Automat eine Fehlermeldung anzeigt. Er zeigte den Jackpot-Angriff nicht, da er ihn legal nur auf Maschinen testen konnte, die er im Rahmen der Sicherheitsberatung von IOActive erhalten hatte, was dann gegen die Geheimhaltungsvereinbarung verstoßen würde. fragte Rodriguez Verdrahtet das Video aus Angst vor rechtlicher Haftung nicht zu veröffentlichen.
Die Ergebnisse sind „hervorragende Forschung zur Verwundbarkeit von Software, die auf eingebetteten Geräten läuft“, sagt Karsten Nohl, der Gründer der Sicherheitsfirma SRLabs und Firmware-Hacker, der Rodriguez‘ Arbeit überprüft hat. Nohl erwähnte auch, dass es für echte Diebe ein paar Nachteile gibt, darunter, dass ein NFC gehackt wurde Das Lesegerät würde es einem Angreifer nur ermöglichen, Magnetstreifen-Kreditkartendaten zu stehlen, nicht jedoch die PIN oder Daten von EMV Chips. Der Jackpot-Angriff auf Geldautomaten erfordert außerdem eine Schwachstelle in der Firmware des Geldautomaten, die ein großes Hindernis darstellt.
Dennoch stellt der Zugriff auf die Ausführung von Code auf diesen Maschinen eine große Sicherheitslücke dar und stellt häufig den ersten Einstiegspunkt in ein System dar, selbst wenn es sich lediglich um einen Zugriff auf Benutzerebene handelt. Sobald man die äußere Sicherheitsschicht hinter sich gelassen hat, ist es oft so, dass die internen Softwaresysteme nicht annähernd so sicher sind.
Ang Cui, CEO und Chefwissenschaftler von Red Balloon, war von den Ergebnissen beeindruckt. „Ich halte es für sehr plausibel, dass Sie in der Lage sein sollten, Code auszuführen, sobald Sie ihn auf einem dieser Geräte haben direkt auf den Hauptcontroller, denn das Ding ist voller Schwachstellen, die seit über einem Jahr nicht behoben wurden Jahrzehnt," Cui sagt. "Von dort," er addiert, „Man kann den Kassettenspender absolut kontrollieren“ das Bargeld hält und an Benutzer weitergibt.
Benutzerdefinierte Codeausführung
Die Möglichkeit, benutzerdefinierten Code auf jeder Maschine auszuführen, stellt eine große Schwachstelle dar und gibt einem Angreifer die Möglichkeit, die zugrunde liegenden Systeme einer Maschine zu untersuchen, um weitere Schwachstellen zu finden. Der Nintendo 3DS ist ein Paradebeispiel dafür: ein Spiel namens Kubischer Ninja war bekanntermaßen eine der frühesten Möglichkeiten, den 3DS auszunutzen und Homebrew auszuführen. Der Exploit mit dem Namen „Ninjhax“ verursachte einen Pufferüberlauf, der die Ausführung von benutzerdefiniertem Code auslöste. Während das Spiel selbst nur Zugriff auf das System auf Benutzerebene hatte, wurde Ninjhax zur Basis weiterer Exploits für die Ausführung benutzerdefinierter Firmware auf dem 3DS.
Vereinfacht ausgedrückt: Ein Pufferüberlauf wird ausgelöst, wenn die Menge der gesendeten Daten den für diese Daten zugewiesenen Speicherplatz übersteigt, was bedeutet, dass die überschüssigen Daten dann in angrenzenden Speicherbereichen gespeichert werden. Wenn ein benachbarter Speicherbereich Code ausführen kann, kann ein Angreifer diesen missbrauchen, um den Puffer damit zu füllen Mülldaten, und hängen Sie dann ausführbaren Code an das Ende an, wo er in den angrenzenden Bereich eingelesen wird Erinnerung. Nicht alle Pufferüberlaufangriffe können Code ausführen, und viele führen einfach nur zum Absturz eines Programms oder verursachen unerwartetes Verhalten. Wenn ein Feld beispielsweise nur 8 Byte Daten aufnehmen kann und ein Angreifer die Eingabe von 10 Byte erzwingt, würden die zusätzlichen 2 Byte am Ende in einen anderen Speicherbereich überlaufen.
Weiterlesen: „PSA: Wenn auf Ihrem PC Linux läuft, sollten Sie Sudo jetzt aktualisieren“
Rodriguez weist darauf hin, dass Pufferüberlaufangriffe auf NFC-Lesegeräte und Point-of-Sale-Geräte möglich sind, da er im letzten Jahr viele davon bei eBay gekauft hat. Er wies darauf hin, dass viele von ihnen unter derselben Sicherheitslücke litten: Sie überprüften nicht die Größe der per NFC von einer Kreditkarte gesendeten Daten. Wenn eine App Daten sendete, die um das Hundertfache größer waren, als der Leser erwartete, konnte es zu einem Pufferüberlauf kommen.
Wann Verdrahtet ID Tech, BBPOS und Nexgo haben die betroffenen Unternehmen um einen Kommentar gebeten und nicht auf Anfragen nach einem Kommentar geantwortet. Auch die ATM Industry Association lehnte eine Stellungnahme ab. Ingenico antwortete in einer Erklärung, dass Sicherheitsmaßnahmen dazu führten, dass der Pufferüberlauf von Rodriguez nur Geräte zum Absturz bringen und nicht die Ausführung von benutzerdefiniertem Code ermöglichen könne. Rodriguez bezweifelt, dass sie die Codeausführung tatsächlich verhindert hätten, hat jedoch keinen Proof of Concept erstellt, um dies zu demonstrieren. Ingenico sagte, dass es „angesichts der Unannehmlichkeiten und Auswirkungen für unsere Kunden“ trotzdem eine Lösung herausgeben werde.
Verifone gab an, die Sicherheitslücken am Point-of-Sale im Jahr 2018 gefunden und behoben zu haben, bevor sie gemeldet wurden. Dies zeigt jedoch nur, dass diese Geräte nie aktualisiert werden. Rodriguez sagt, er habe seine NFC-Angriffe letztes Jahr auf einem Verifone-Gerät in einem Restaurant getestet und festgestellt, dass es immer noch anfällig sei.
„Diese Schwachstellen gibt es schon seit Jahren in der Firmware, und wir nutzen diese Geräte täglich, um mit unseren Kreditkarten und unserem Geld umzugehen.“ Rodriguez sagt. „Sie müssen gesichert werden.“ Rodriguez plant, in den kommenden Wochen in einem Webinar technische Details zu diesen Schwachstellen mitzuteilen.