Hacker macht Geldautomaten zum Goldesel

EnterpriseSicherheitSoftware

Das Ende des Mythos des unknackbaren Geldautomaten: Bei einer Sicherheitskonferenz hat ein Forscher ohne Passwort über ein Telefonmodem mehrere Geldautomaten dazu gebracht, ihren gesamten Inhalt auszugeben.

Mit einem einzigen Knopfdruck und der richtigen Software ist es offenbar überhaupt kein Problem, einen Geldautomaten dazu zu bewegen, seinen gesamten Geldvorrat auszuspucken. Der Sicherheitsforscher Barnaby Jack des Beratungsunternehmens IOActive hat auf der Bühne der Black Hat-Konferenz zwei Geräte kurzerhand geknackt.

“Ich hoffe, dass die Menschen diese Geräte mit etwas anderen Augen sehen werden, die von außen auf den ersten Blick so undurchdringlich scheinen”, kommentierte Jack. In einem Fall konnte sich Jack über ein Telefon in ein Gerät einwählen und musste noch nicht einmal ein Passwort eingeben. Anschließend spuckte das Gerät das gesamte Geld aus.

Der Wunschtraum vieler Hacker: Ein Geldautomat spuckt alle seine Scheine aus, ohne das eigene Konto zu belasten. Der Forscher Barnaby Jack hat diesen Traum Wirklichkeit werden lassen. Quelle: Declan McCullagh/CNET
Der Wunschtraum vieler Hacker: Ein Geldautomat spuckt alle seine Scheine aus, ohne das eigene Konto zu belasten. Der Forscher Barnaby Jack hat diesen Traum Wirklichkeit werden lassen. Quelle: Declan McCullagh/CNET

Jack hatte die Geräte der Hersteller Tranax und Triton über das Internet gekauft und beschäftigte sich in den vergangenen Jahren mit dem Code der Maschinen. Dabei stieß er auf zahlreiche Sicherheitslecks und Programmierfehler, die auch in anderen Geräten dieser Hersteller zu finden seien. Er konnte jeweils die vollständige Kontrolle über die Geräte erlangen und sogar den eingebauten Safe öffnen.

In jeder Maschine, die er sich vorgenommen hatte, habe Jack einen Fehler finden können, der es ihm erlaubte, an das Geld zu kommen. Insgesamt habe Jack vier verschiedene Modelle geprüft. Geräte, wie sie von Banken verwendet werden, konnte Jack bislang nicht prüfen. Er beschränkte sich auf Geräte, wie sie in Einkaufszentren oder an Flughäfen stehen. Die beiden Hersteller haben die Lecks bereits behoben. Wenn aber der Automaten-Aufsteller diese Patches nicht aufspiele, so Jack, dann könnten Hacker theoretisch den Kassenautomaten leeren.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen