„Jackpotting“ über NFC

White-Hat-Hacker knackt Bankomaten per Handy-App

Die Hersteller der betroffenen Bankomaten wurden informiert und haben bereits Updates entwickelt.

(Bild: APA/Barbara Gindl (Symbolbild))

Einem IT-Security-Forscher aus Spanien ist es gelungen, Geldautomaten mithilfe einer eigens programmierten Smartphone-App zu manipulieren und leerzuräumen. Normalerweise brauchen Hacker für solche „Jackpotting“ genannten Angriffe Zugriff auf eine Wartungsschnittstelle, Josep Rodriguez muss nur sein Handy an den Bankomaten halten.

Rodriguez arbeitet als sogenannter White-Hat-Hacker für Bankomathersteller und testet deren Produkte auf ihre Sicherheit. So konnte er über die Jahre von Berufs wegen viel Know-how über Sicherheitslücken in gängigen Bankomaten sammeln - und nun eine Smartphone-App entwickeln, mit der er Geldautomaten zum Absturz und zur Geldausgabe bringen kann.

NFC-Pakete lösen „Buffer Overflow“ aus
Wie das IT-Magazin „Wired“ berichtet, nutzt die App den bei vielen Bankomaten mangelhaft implementierten Kurzstreckenfunk NFC, um speziell präparierte Pakete an den Automaten zu senden, die dort einen sogenannten „Buffer Overflow“ auslösen. Dafür muss Rodriguez nur kurz sein Handy an den Bankomaten halten.

Die Angriffsmethode funktioniert nicht nur bei Bankomaten, sondern auch bei elektronischen Kassensystemen. Hier kann Rodriguez auf Knopfdruck den abzubuchenden Betrag verändern.

(Bild: ©Sergey - stock.adobe.com)

Angriffsmethode aus dem letzten Jahrtausend
Es handelt sich um eine seit Jahrzehnten bekannte Angriffsmethode, die bei heutigen Bankomaten und Bankomat-Kassen offenbar immer noch funktioniert. Mit seiner App kann Rodriguez mit seinem Handy den zu zahlenden Betrag bei elektronischen Kassensystemen herabsetzen, aber auch Bankomaten abstürzen oder Geld ausspucken lassen.

Hersteller informiert, Lücken abgedichtet
Bereichert hat sich Rodriguez mit seiner „Jackpotting“-App nicht: Die Hersteller der unsicheren Bankomaten wurden von ihm bereits vor einigen Monaten über die genutzten Schwachstellen informiert und haben mittlerweile Updates entwickelt, um die Lücken abzudichten. Laut dem Bericht müssen diese aber mitunter vor Ort eingespielt werden, es dürften also nach wie vor zahlreiche angreifbare Bankomaten existieren.