EC-Karten: Weit verbreitetes Terminal gehackt, PIN-Klau auch über’s Internet möglich

Das „in Deutschland wohl am weitesten verbreitete Kartenterminal“ hat kritische Sicherheitslücken, die auch über das Internet ausnutzbar sind. Thomas Roth von Security Research Labs hat das Verifone Artema PIN Hybrid gehackt. Angreifer können Code auf dem Systemlevel ausführen, als Beweis wurde Pong installiert.

Die Berliner Firma Security Research Labs hat heute Forschungsergebnisse veröffentlicht: Payment terminals allow for remote PIN capture and card cloning. Auf Zeit Online berichtet Kai Biermann: EC-Karten-Terminals verraten die PIN, auf heise online schreibt Jürgen Schmidt: EC-Karten: PIN-Klau am Kartenterminal möglich. Die ARD-Sendung Monitor sendet heute abend 21:45 einen Bericht.

Es sollen 300.000 dieser Geräte in Deutschland im Einsatz sein, damit sei es „das am meisten verbreitete Terminal hier“. Und die können jetzt alle geownt werden:

Anders als die bisher bekannt gewordenen Angriffe auf Bezahlterminals erfordert ein solcher Angriff keine Manipulation der Hardware. Er erfolgt etwa via TCP/IP über die Netzwerkschnittstelle des Geräts. Dabei übernehmen die Angreifer durch einen Pufferüberlauf, den Thomas Roth von SRLabs entdeckt hat, die Kontrolle über das Gerät – also zumindest über den ARM-basierten Applikationsprozessor.

Er kann irgendwo auf der Welt an seinem Rechner sitzen und sich über das Internet in solche Terminals hacken, denn manche von ihnen hängen direkt am Netz. Oder er kann beispielsweise in Cafés das dortige WLAN nutzen – auch darüber kommunizieren in manchen Läden die EC-Karten-Lesegeräte

Ein Angreifer kann damit die volle Kontrolle über das Gerät übernehmen. Also auch PIN-Nummern abgreifen, Karten klonen, Bezahlungsvorgänge manipulieren und falsche Transaktionen abschicken. Als Beweis haben die Hacker Pong auf dem Gerät installiert.

Der Hersteller und die Verantwortlichen wiegeln ab: „nur eine theoretische Angriffsmöglichkeit“, „nur unter Laborbedingungen“ möglich. Also hat man sich entschieden, den Angriff zu veröffentlichen. Karsten Nohl von SRLabs:

Der Hersteller weiß seit vier Monaten, dass es das Problem gibt, passiert ist nicht viel. Er scheut sich offensichtlich vor der Größe der Aufgabe.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Wie schön das für mich immer noch gilt: nur Bares ist Wahres ;-)

    Ich hole mir mein Geld am Bankschalter – wegen Erhalt der dortigen Arbeitsplätze ;-) – und zahle immer nur bar.

    Überweisungen auch nur via Bankschalter – ganz klassisch mit Stempel und Gespräch.

    Ist übrigens genauso teuer wie wen ich es per Karte oder online machen würde ;-)

    Ich würde mir im Supermarkt und sonstigen Geschäften extra Kassen für diese lahmen Kartenzahlungen wünschen.

    1. Wird leider nicht kommen, da mit EC zahlen es zuviele Vorteile fuer die Geschaefte bringt:
      – Bessere und schnellere Abrechnung
      – Kein Wechselgeldproblem
      – Weniger Bargeld und damit auch geringere Gefahr eines Ueberfalls etc.

      1. Da bin ich etwas egoistisch – Mir bringt es keine Vorteile und die Informationen, was ich wann und wo gekauft habe, gebe ich nicht für lulu raus ;-)

        Und da der Kunde ja König ist (in einer Demokratie ;-) muss mir der Verkäufer schon genehme Möglichkeiten der Bezahlung anbieten – sondt kaufe ich dort Nichts.

        Aber bezogen auf die EC-Kassen: ist nur ein kleiner Wunsch, der mich – zumeist beim Schlangestehen im Supermarkt – nur kurzzeitig erfüllt.

    2. Also bei mir bezahle ich für eine Überweisung am Bankschalter extra einen Euro oder so. Am Geldautomat / Online ist die Überweisung hingegen kostenlos.

      1. Das ist selten – habe noch nie davon gehört.

        Da ich explizit ein Guthabenkonto führe ist Online-Banking für mich eh‘ nicht drin (auch weil ich mir ncht garantieren kann, das meine Kiste nicht verseucht ist ;-)

      2. @kleitos: Vermeintliche Gratis-Konten ohne Kontoführungsgebühren haben oft Einschränkungen wie „nur online ist kostenlos“. Ausnahmen gibts zwar, aber in der Regel nur bei einem bestimmten monatlichen Mindestgeldeingang.

  2. Jetzt fehlt unter den Hackern nur noch ein Robin Hood:

    Das Gerät gaukelt einen regulären Bezahlvorgang vor, verwirft PIN und Karteninformationen und meldet an die Kasse den erfolgreichen Bezahlvorgang zurück.

    Damit werden nicht die einzelnen Benutzer sondern gut versicherte Unternehmen geschädigt, die das Geld sicherlich sogar von den Banken zurückfordern können.

  3. @Tobias:
    Im Zeitalter der Smartphones kann doch jeder sein eigener Robin Hood sein ;) Man hackt seinen eigenen Einkauf *eg* Ist doch praktisch.

    1. Richtig „Jens“…:-))
      Benutzt wieder Bargeld, dann ist auch keine Rückverfolgung möglich…
      Ich hatte noch nie eine Geld oder Scheckkarte…

  4. „Man operiert mit JTAG unterhalb der Software, darum kann sich die Software davor nicht schützen“ , Verständlich das der Hersteller ein grösseres Problem hat…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.