McDonald’s
McDonald’s
Bildquelle: Geoffrey Huntley

McDonald’s Automaten als Einladung zum Hack?

Wenn Die Automaten von McDonald’s offen sind, kann man möglicherweise mithilfe einer Schadsoftware die Zahlungsdaten der Kunden abgreifen.

Geoffrey Huntley ist gerade überall in Australien unterwegs und hat dabei viele offene Automaten von McDonald’s beobachtet. Huntley im O.Ton:

Das unterbezahlte Personal, das früher die Bestellungen aufgab, wurde durch diese Selbstbedienungs-Kioske und ein Verfahren ersetzt, das auf Tickets basiert. Dieser Prozess bricht völlig zusammen, wenn dem Ticketdrucker das Papier ausgeht.“

ghuntley.com

Mitarbeiter von McDonald’s lassen die Automaten häufig offen

Da dies aufgrund der vielen Bestellungen sehr häufig passiert, lassen die Mitarbeiter die Automaten mit dem Touchscreen einfach offen, um das Papier für die Tickets schneller austauschen zu können. Ohne Ticket kriegen die Kunden keine Mahlzeit, weswegen sie sich deswegen zeitnah beschweren.

Der Zugriff zu den Innereien hängt folglich primär davon ab, ob man einen USB-Stick dabei hat. Im Inneren des Automaten von McDonald’s befindet sich nämlich ein regulärer x86-Computer NUC mit freien USB-Anschlüssen. Zumindest ist dies in Australien der Fall. Der Hobby-Hacker wurde übrigens als Programmierer von NFT Bay, der Fake-Seite mit sinnlosen Daten als Inhalt populär, über die im Winter letzten Jahres so häufig in den Medien berichtet wurde.

Huntley stellte zudem fest, dass bei den aufgestellten Automaten Windows 7 im Admin-Modus lief. Die Touchscreen-Eingabe war dabei stets aktiv. Im Wiederherstellungsmodus könnte jeder Unbeteiligte eine Anwendung seiner Wahl ausführen. Zum Beispiel ein Programm, was er auf seinem USB-Stick gespeichert hat. Huntley berichtet weiter:

„Heute habe ich bei einem anderen McDonald’s den gesamten Bootstrap-Prozess beobachtet. Ich kann bestätigen, dass der Kiosk in der Tat für die Installation von „Custom Firmware“ auf dem Kartenleser verantwortlich ist. Da die Benutzerinteraktion aktiviert ist, ist es theoretisch möglich, die Terminals in den Wiederherstellungsmodus zu zwingen, wenn sie hochfahren, indem man auf den Bildschirm tippt…“

Windows 7 als Betriebssytem = keine gute Idee!

McDonald’s

An den Automaten von McDonald’s sind Zahlungsterminals angebracht. Wenn jemand hier Schadsoftware installiert, indem er einen USB-Stick einsteckt oder den Wiederherstellungsmodus verwendet, dann könnte die Person möglicherweise auch die Daten den von den Kunden eingeführten Maestro- beziehungsweise Kreditkarten abgreifen.

Ein Kommentator bei Twitter, der sich als Branchenkenner zu erkennen gibt, schreibt hingegen als Anwort, dass die meisten Hersteller von Zahlungsterminals ihre Hardware wirklich gut abgesichert haben. Somit dürfe es nicht so einfach sein, vom Windows-PC aus die eingegebenen PINs oder andere Daten einzusehen, weil die Terminals ihren Dienst versagen, sofern irgendwelche Daten unverschlüsselt übertragen werden.

Huntley kritisiert ferner, dass man keine Automaten im Administrator-Modus laufen lassen darf. Das ist auch der Fall, wenn Besucher sie nicht ohne weiteres öffnen können. Dies gelte aber erst recht, wenn die Automaten sowieso ständig offen sind, um Zeit zu sparen. Außerdem macht es wenig Sinn ein Betriebssystem wie Windows 7 einzusetzen. Microsoft versorgt die Win 7-Nutzer schon länger nicht mehr mit irgendwelchen Sicherheitsupdates. Korrektur: Die embedded Version verfügt regulär noch Updates bis Oktober 2024.

How to hack a Hamburger?

Interessant wäre es indes zu wissen, ob die gleiche Software auch bei den McDonald’s Automaten in Deutschland zum Einsatz kommt. Wenn ja, wäre es Zeit für ein weiteres Seminar auf einer Sicherheitskonferenz. So ein Vortrag wie von Barnaby Jack auf der DEFCON im Jahr 2013, als er aufgrund einer Sicherheitslücke massenhaft unerlaubt Zugang zu diversen Geldautomaten erhielt.

Übrigens. Wer sich so einen McDonald’s Automaten daheim aufstellen möchte, kann die Hardware bei Alibaba und bei anderen Online-Auktionshäusern käuflich erwerben. Dann könnte man in aller Ruhe testen, ob es weitere Sicherheitslücken gibt, die bisher noch nicht bekannt wurden. Die Geräte werden laut der Anzeige auch bei Kentucky Fried Chicken (KFC) und anderen Franchise-Restaurantketten eingesetzt.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.