Aufgrund einer Schwachstelle können Kreditkartendaten und der PIN-Code in Geschäften abgegriffen werden an POS-Terminals.
Security-Forscher haben eine Schwachstelle entdeckt, mit der Kreditkartendaten und der PIN-Code in Geschäften an POS-Terminals abgegriffen werden kann.
POS-Terminals unsicher
Zwei Security-Forscher, Nir Valtman und Patrick Watson haben letzte Woche in Las Vegas auf der Black Hat Konferenz vorgeführt, wie die POS-Terminals zum Abgreifen der Kreditkartendaten genutzt werden können. Die Forscher arbeiten für NCR, einen der Marktführer für Bankomaten und bargeldlose Bezahlsysteme, wie Softpedia berichtet.
Die von ihnen entdeckte Schwachstelle liegt zwischen den Terminals und der dazugehörigen Software. Das typische POS-Terminal (engl. „Point of Sale“ – zu Deutsch: bargeldlose Verkaufsstelle) ist ein Online-Terminal zum bargeldlosen Bezahlen an einem Verkaufsort. Es kontrolliert eine Debitkarte oder eine Kreditkarte auf Kartensperrung und meldet das Prüfungsergebnis. Das POS besteht aus Display, Kartenleser und Tasten zur Eingabe des PIN-Codes. Die Daten vom Kartenleser werden unverschlüsselt zur Software übertragen, die meist auf einem Computer in der Nähe des Terminals installiert ist.
Geräte übertragen die Daten unverschlüsselt
Je nach Gerät erfolgt die Übertragung per Ethernet-Kabel oder drahtlos. Die Forscher haben für ihre Demonstration einen Raspberry Pi zwischen Terminal und Notebook mit der Software gehängt, auf dem ein Programm zum Abgreifen des Datenverkehrs installiert war. Laut den Forschern könnte man dies auch mit deutlich kleineren Geräten machen, die kaum auffallen, wenn man sie richtig positioniert. Die Geräte könnten etwa von Insidern oder Personen installiert werden, die sich als Techniker ausgeben. Durch eine manipulierte DLL-Datei (Dynamic Link Library: bezeichnet allgemein eine dynamische Programmbibliothek) könnten Hacker auch die Software manipulieren, um die unverschlüsselten Daten weiterzuleiten. Einzige Voraussetzung hierfür: sie verschaffen sich aus der Ferne Zugriff auf den Computer, auf dem die Software installiert ist.
Da die Kreditkartendaten allein den Cyberkriminellen nicht allzu viel bringen, haben die Forscher auch gleich noch zusätzlich demonstriert, wie sie an den PIN-Code kommen können. Die PIN-Eingabe am Terminal zur Bestätigung der Zahlung ist verschlüsselt. Durch eine manipulierte DLL ist es aber möglich, nach der eigentlichen PIN-Eingabe den Kunden zur erneuten Eingabe aufzufordern. Diese sendet das Gerät dann unverschlüsselt.
Fazit
PINs kopieren, Zahlungen umleiten oder gar das Konto des Kunden plündern – unzureichende Sicherheitsmechanismen in Bezahlterminals lassen Angreifern jeglichen Spielraum. Laut den beiden Forschern übertragen viele POS-Terminals die Daten ungesichert zum Computer mit der Zahlungssoftware.
Der EMV-Standard (technischer Standard für die Kommunikation zwischen Chipkarte und Terminal zur Abwicklung von girocard- (ehemals ec-Karte) oder Kreditkarten-Transaktionen) galt bisher als relativ sicher. Ein Chip auf der Kredit- und Bankomatkarte ersetzt den Magnetstreifen. Statt zu unterschreiben gibt man den PIN-Code ein, um die Zahlung zu autorisieren. In Europa ist dieses Verfahren seit Jahren üblich und kommt in Geschäften bei POS-Terminals zum Einsatz.
Nach dieser Demonstration technischer Möglichkeiten von potentiellem Datendiebstahl der Forscher ist also besondere Achtung geboten, wenn man an einer Kasse zum wiederholtem Male aufgefordert wird, seine PIN-Nummer einzugeben. Eine erneute Eingabeaufforderung des PINs deutet fast jedes Mal auf ein manipuliertes Gerät hin. Dennoch schöpfen die meisten Kunden hier keinen Verdacht, weil sie annehmen, sie hätten den PIN beim ersten Mal falsch eingetippt.
POS-Terminals benötigen die Point-to-Point Encryption
Eine Empfehlung der Forscher an die Hersteller der POS-Terminals lautet, eine Point-to-Point Encryption (P2PE) zu implementieren. Ist die Hardware zu alt für P2PE, sollte man zumindest die Datenübertragung zwischen Terminal und Software mittels TLS (deutsch: Transportschichtsicherheit) sichern.
Die Terminals welcher Hersteller die Daten ungesichert übertragen, wollten sie nicht verraten. Es seien jedoch sehr viele Geräte getroffen. Die Forscher haben die Hersteller über die Schwachstelle informiert.
Tarnkappe.info