POS-Terminals: Schwachstelle aufgespürt

Article by · 9. August 2016 ·

pos-terminals kreditkarte
Security-Forscher haben eine Schwachstelle entdeckt, mit der Kreditkartendaten und der PIN-Code in Geschäften an POS-Terminals abgegriffen werden kann.

Zwei Security-Forscher, Nir Valtman und Patrick Watson haben letzte Woche in Las Vegas auf der Black Hat Konferenz vorgeführt, wie die POS-Terminals zum Abgreifen der Kreditkartendaten genutzt werden können. Die Forscher arbeiten für NCR, einen der Marktführer für Bankomaten und bargeldlose Bezahlsysteme, wie Softpedia berichtet.

Die von ihnen entdeckte Schwachstelle liegt zwischen den Terminals und der dazugehörigen Software. Das typische POS-Terminal (engl. „Point of Sale“ – zu Deutsch: bargeldlose Verkaufsstelle) ist ein Online-Terminal zum bargeldlosen Bezahlen an einem Verkaufsort. Es kontrolliert eine Debitkarte oder eine Kreditkarte auf Kartensperrung und meldet das Prüfungsergebnis. Das POS besteht aus Display, Kartenleser und Tasten zur Eingabe des PIN-Codes. Die Daten vom Kartenleser werden unverschlüsselt zur Software übertragen, die meist auf einem Computer in der Nähe des Terminals installiert ist.

Je nach Gerät erfolgt die Übertragung per Ethernet-Kabel oder drahtlos. Die Forscher haben für ihre Demonstration einen Raspberry Pi zwischen Terminal und Notebook mit der Software gehängt, auf dem ein Programm zum Abgreifen des Datenverkehrs installiert war. Laut den Forschern könnte man dies auch mit deutlich kleineren Geräten machen, die kaum auffallen, wenn sie richtig positioniert werden. Die Geräte könnten etwa von Insidern oder Personen installiert werden, die sich als Techniker ausgeben. Durch eine manipulierte DLL-Datei (Dynamic Link Library: bezeichnet allgemein eine dynamische Programmbibliothek) könnten Hacker auch die Software manipulieren, um die unverschlüsselten Daten weiterzuleiten. Einzige Voraussetzung hierfür: sie verschaffen sich aus der Ferne Zugriff auf den Computer, auf dem die Software installiert ist.

Da die Kreditkartendaten allein den Cyberkriminellen nicht allzu viel bringen, haben die Forscher auch gleich noch zusätzlich demonstriert, wie sie an den PIN-Code kommen können. Die PIN-Eingabe am Terminal zur Bestätigung der Zahlung ist verschlüsselt. Durch eine manipulierte DLL ist es aber möglich, nach der eigentlichen PIN-Eingabe den Kunden zur erneuten Eingabe aufzufordern. Diese wird dann unverschlüsselt gesendet.

Fazit:

PINs kopieren, Zahlungen umleiten oder gar das Konto des Kunden plündern – unzureichende Sicherheitsmechanismen in Bezahlterminals lassen Angreifern jeglichen Spielraum. Laut den beiden Forschern übertragen viele POS-Terminals die Daten ungesichert zum Computer mit der Zahlungssoftware.

Der EMV-Standard (technischer Standard für die Kommunikation zwischen Chipkarte und Terminal zur Abwicklung von girocard- (ehemals ec-Karte) oder Kreditkarten-Transaktionen) galt bisher als relativ sicher. Ein Chip auf der Kredit- und Bankomatkarte ersetzt den Magnetstreifen, statt zu unterschreiben wird ein PIN-Code eingegeben, um die Zahlung zu autorisieren. In Europa ist dieses Verfahren seit Jahren üblich und kommt in Geschäften bei POS-Terminals zum Einsatz.

Nach dieser Demonstration technischer Möglichkeiten von potentiellem Datendiebstahl der Forscher ist also besondere Achtung geboten, wenn man an einer Kasse zum wiederholtem Male aufgefordert wird, seine PIN-Nummer einzugeben. Eine erneute Eingabeaufforderung des PINs deutet fast jedes Mal auf ein manipuliertes Gerät hin. Dennoch schöpfen die meisten Kunden hier keinen Verdacht, weil sie annehmen, sie hätten den PIN beim ersten Mal falsch eingetippt.

Eine Empfehlung der Forscher an die Hersteller der POS-Terminals lautet, eine Point-to-Point Encryption (P2PE) zu implementieren. Ist die Hardware zu alt für P2PE, sollte zumindest die Datenübertragung zwischen Terminal und Software mittels TLS (deutsch: Transportschichtsicherheit) gesichert werden.

Die Terminals welcher Hersteller die Daten ungesichert übertragen, wollten sie nicht verraten. Es seien jedoch sehr viele Geräte getroffen. Die Hersteller wurden von den Forschern über die Schwachstelle informiert.

Bildquelle: jarmoluk, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!


    Leave a comment