Falsch konfiguriert: Bankomaten leicht zu manipulieren

3. November 2015, 18:41
73 Postings

Einfacher "Hack" während Sicherheitsupdate ermöglicht Zugriff auf Kommandozeile

Auch Bankomaten sind letztlich Computer und somit vor Angriffen nicht gefeit. Erst jüngst wurde dokumentiert, wie ein Geldautomat sich mit Hilfe eines USB-Sticks plündern lässt. Leichter hatte es dank einer Fehlkonfiguration des Geräts allerdings ein Sicherheitsforscher, als er in Kassel Geld abheben wollte.

Automat durch Zurückschieben der Karte "gehackt"

Der Automat spuckte die Karte des Mitarbeiters von Evolution Security wieder aus, da gerade ein Sicherheitsupdate eingespielt wurde. Als der Forscher sie einfach wieder mit etwas Nachdruck zurück in den Schlitz schob, erschien am Bildschirm des Geräts auf einmal das Kommandozeilenfenster, welches den laufenden Aktualisierungsvorgang dokumentierte, schildert Heise.

Volle Rechte

Dort war es auch möglich, mittels der Tastatur des Automaten, der nicht nur Geldausgabe beherrscht, sondern auch für Überweisungen verwendet werden kann, mit vollen Rechten eigene Befehle einzutippen. Zudem schienen in dem Fenster auch allerlei sensible Informationen auf, etwa interne IPs der Bank, Nutzernamen oder Passwörter. Selbst ohne Direktzugriff auf die Kommandozeile ließen sich derlei Daten für Angriffe auf die Systeme des Geldinstituts nutzen.

Betroffen von der Fehlkonfiguration sind Geräte von Wincor Nixdorf. Die in diesem Falle betroffene Bank, Sparkasse, hat das Problem bereits bestätigt und ein Update angekündigt. Zumindest in Kassel lässt sich ein laufender Aktualisierungsprozess mittlerweile nicht mehr ausnutzen. Die vollständige Dokumentation der Schwachstelle findet sich in der von Evolution Security betriebenen Vulnerability Database. (gpi, 03.11.2015)

  • Aufgrund einer fehlerhaften Konfiguration ließ sich der Bankomat kinderleicht "hacken".
    foto: evolution security

    Aufgrund einer fehlerhaften Konfiguration ließ sich der Bankomat kinderleicht "hacken".

Share if you care.