Skip to Main Content

Mobile Kartenlesegeräte: 5 Minuten und die PIN ist weg

Jeder kennt es: Man geniesst ein gutes Essen in einem kleinen Pop-Up-Restaurant, verbringt dort einen schönen Abend mit Freunden und bezahlt dann in Ruhe die Rechnung. Normalerweise zahlt man ja bar, aber diesmal hat man einfach nicht genug Geld dabei. Kein Problem, denn man kann ja auch via Karte zahlen. Gesagt, getan. Ein paar Tage später beim kurzen Blick aufs Bankkonto fällt es dann auf – irgendwie ist der abgebuchte Betrag leicht höher als die Rechnung hergibt. Klar, man könnte versuchen das zu regeln, aber das kostet dann wieder Zeit und Mühe. Ist es das für Cent-Beträge wirklich wert?

Laut Sicherheitsforschern ist das obige Szenario gar nicht mal so unrealistisch, zumindest wenn man bei einem Dienstleister zahlt, der ein mobiles Kartenlesegerät nutzt. Diese zeichnen sich dadurch aus, dass sie klein, handlich und mobil sind, normalerweise an einem Tablet oder Smartphone angeschlossen sind und einen sehr geringen Anschaffungspreis haben.

Billige mobile Kartenlesegeräte, schlechte Sicherheit

Klar, klein handlich, mobil und günstig sind natürlich die besten Grundvoraussetzungen für Food Trucks, Lieferservices, Pop-Up-Restaurants, Marktstände, und mehr. Deswegen sind die mobilen Kartenlesegeräte dort auch besonders häufig anzutreffen. Leider scheint es, als ob sie auch mit einigen Sicherheitslücken bestückt sind, die es Hackern erlauben Kreditkarteninformationen zu stehlen und/oder den Betrag, den Sie zahlen, heimlich zu erhöhen.

Sicherheitsforscher von Positive Technologies haben sich sieben dieser Geräte angesehen, die alle weniger als 50$ kosten. Einige davon sind sogar von bekannten Firmen wie PayPal und Square. Das Ergebnis ist schockierend: Fünf der Geräte erlauben es Cybergaunern oder betrügerischen Verkäufern die Kunden hinters Ohr zu hauen und sie mehr zahlen zu lassen als nötig, während man über zwei Geräte sogar die PIN auslesen kann.

5 Minuten reichen für einen Hack aus

Die erste Sicherheitslücke basiert auf einem Bluetooth-Exploit. Der Hacker kann hier die verschlüsselte Bluetoothverbindung zwischen dem Kartenleser und dem mobilen Terminal abhören und an den Preisen herumspielen: Die letztendliche Rechnung wird dann höher sein, als das was der Kunde auf dem Gerät zu sehen bekommt.

Die zweite Lücke, die es den Cyberkriminellen erlaubt PINs zu stehlen, wies nur die Gerätereihe auf, die von Miura produziert wird. Sowohl PayPal als auch Square nutzen solche Geräte – zumindest bisher. Damit der Angriff ausgeführt werden kann muss wahrscheinlich ein wenig Vorarbeit geleistet werden, denn er verlangt eine alte Version der Firmware, die die Hacker unter anderem zuerst installieren müssen. Laut den Sicherheitsforschern kann so eine Attacke allerdings dennoch in nur wenigen Minuten durchgeführt werden.

Lücken werden geschlossen, alte Geräte sind dennoch weiter in Umlauf

Während die entsprechenden Firmen die Sicherheitslücken so schnell wie möglich schließen wollen, ist das nur die halbe Miete. Alte mobile Kartenlesegeräte bleiben schließlich in Umlauf und werden größtenteils weiterhin angreifbar bleiben. Auch heißt das nicht, dass nicht bald schon neue Angriffsflächen entstehen können: Bei einem Preis von unter 50$ ist es letzten Endes eher unwahrscheinlich, dass sehr viel Geld für ausgiebige Suchen nach Sicherheitslücken ausgegeben wird.

Dieser Artikel ist auch verfügbar in: FranzösischItalienisch

EMEA & APAC Content Manager @ Norton & Avira | Gamer. Geek. Tech addict.