Die NFC-Funktion bei Smartphone, Bankomatkarte und Co ist nicht ohne Grund populär: Für Nutzerinnen und Nutzer verfällt jeglicher Aufwand, kleinere Geldsummen zu überweisen, da sie keinen Pin eingeben müssen. Gleichzeitig ist kontaktloses Zahlen möglich, was sich gerade in der Pandemie als äußerst praktikabel erwiesen hat. Zu finden ist sie in Supermärkten, Restaurants – aber auch Bankomaten. Nicht ohne Kritik, denn immer wieder finden sich kleinere und größere Sicherheitslücken. So auch im Fall der Entdeckung des Sicherheitsforschers Josep Rodrigues der Firma IOActive, wie "Wired" berichtet: Durch die Ausnutzung mehrerer Bugs bei NFC-Chips ist es ihm gelungen, in Bankomaten einzudringen, die die millionenfach weltweit genutzt werden.

Dafür entwickelte er eine eigene Android-App, bei der er die Höhe der Transaktionssummen undokumentiert verändern konnte. Zudem war es für ihn etwa möglich, Kreditkartendaten zu stehlen. Auch konnte er die Bankomaten gänzlich sperren und stattdessen eine Erpressersoftware-Nachricht hinterlassen. Bei den Geräten eines Herstellers konnte er sogar direkt Geld ausschütten lassen – jedoch musste er dafür weitere Sicherheitslücken ausnutzen. Die konkreten Bugs wollte er nicht offenbaren, da diese an die Unternehmen der Bankomaten weitergegeben wurden und noch nicht offengelegt werden dürfen.

Mehrere Hersteller betroffen

"Man könnte den Preis zum Beispiel auf einen Dollar verringern, selbst wenn der Bildschirm 50 anzeigt", sagt er zu "Wired". "Man könnte das Gerät unbrauchbar machen, oder Ransomware installieren. Da gibt es viele Möglichkeiten." Dabei konzentriert sich der Angriff auf Point-Of-Service-Systeme, also Soft- oder Hardware, die den Bestell- oder Abrechnungsvorgang unterstützt. Betroffen waren Geräte der Hersteller ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo und einer Marke, dessen Namen Rodrigues aufgrund der Schwere der Sicherheitsprobleme nicht nennt.

Der Sicherheitsforscher will die Lücken aber bald im Detail veröffentlichen, auch, um auf die Problematik hinzuweisen, dass viele Geräte seit Jahren mit gravierenden Problemen zu kämpfen haben. Ein Problem ist unter anderem, dass Anbieter derartiger Geräte viel zu langsam die Sicherheitspatches installieren würden, die von den Herstellerunternehmen zur Verfügung gestellt werden. (red, 27.6.2021)