Mobile Kassensysteme sind unsicher
Mobile Kassensysteme sind sicher und zuverlässig? Ein neuer Bericht beweist das Gegenteil, denn laut Sicherheitsexperten sind 75 Prozent der mobilen Terminals verwundbar.
Gut drei Viertel der gängigen mobilen Kassensysteme für Kreditkarten basieren auf der gleichen Hard- und Software. Und eben jene Kassensysteme sind allesamt einfach zu hacken. Dies bewies nun Sicherheitsexperte Jon Butler und Kollege Nils bei der Sicherheitskonferenz Black Hat 2014.
Demnach würden die mobilen Terminals des Herstellers Miura Shuttle, welche jene 75 Prozent der Anteile am Markt besitzen, von einer kritischen Sicherheitslücke betroffen gewesen sein. Die dort implementierte mobile POS (Point of Sale)-Hardware basierte laut Butler zwar auf einem relativ aktuellem Linux-Betriebssystem, würde aber keinerlei Schutzmechanismen wie NX oder ASLR vorweisen. Selbst PayPal greift auf die anfällige Software von Miura Shuttle zurück.
Leichtes Spiel für Hacker
Hacker installieren ihre eigene Software auf dem Terminal.
Die Konsequenzen für einen möglichen Hack liegen demnach auf der Hand. So könnten Kriminelle sowohl per USB-Stick als auch per Bluetooth in das System eindringen und über einen einfachen Code die Root-Rechte auf dem mPOS-Terminal anpassen. Das Resultat kann in Filetransfers oder auch in eigenen Firmware-Updates geschehen. Beispielsweise können mit dieser Methode Chip und Pin von Kreditkarten ausgelesen, Terminals gesteuert oder gar manipulierte Karten akzeptiert werden.
Die Sicherheitsexperten unter Butler sehen gerade in Europa ein großes Potential für diesen Hack, denn dabei können jegliche Einschränkungen, um illegal an Geld zu kommen, umgangen werden.
Doch Butler gab für Miura Shuttle bei der Black Hat 2014 vorerst eine Entwarnung. Demnach wäre das Unternehmen bereits im April 2014 auf die gravierenden Lücken hingewiesen worden und hätte diese unverzüglich geschlossen.
