Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 46, views: 37.198 •

Het Duitse SRLabs claimt dat pin-apparaten van het bedrijf Verifone zwakheden bevatten die ervoor kunnen zorgen dat kwaadwillenden de pin van gebruikers kunnen achterhalen. Ook kunnen financiŽle transacties worden gemodificeerd.

SRLabs voerde het onderzoek uit met betaalapparaten van Verifone die in Duitsland worden gebruikt. Daarbij gaat het specifiek om het model Artema Hybrid. De bewuste pin-modules staan echter niet alleen in Duitsland, maar ook in verscheidene Belgische winkels. Het is niet duidelijk of er al misbruik van de ontdekte kwetsbaarheden is gemaakt, maar de meeste bekende betaalkaarten zouden vatbaar zijn voor de gehackte pin-module.

Volgens SRLabs, onder leiding van de bekende Duitse beveiligingsonderzoeker Karsten Nohl, werden er in de firmware van de pin-modules exploits ontdekt. Hackers kunnen door middel van een buffer overflow eigen code draaien op de apparaten, waardoor kaartinformatie zoals de pin kan worden achterhaald. Met de vergaarde informatie kan een betaalkaart worden gekopieerd, waarmee kwaadwillenden bijvoorbeeld geld op kunnen nemen bij een geldautomaat. Ook kunnen hackers transacties die met de pin-module zijn gemaakt aanpassen, of zelfs neptransacties creëren.

De hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken. Ook is het mogelijk om de hack uit te voeren via de seriële of Jtag-poort op het apparaat.

Het verbond van Duitse banken, de Deutsche Kreditwirtschaft, heeft in een reactie laten weten de door SRLabs gepubliceerde zwakheden serieus te nemen, maar claimt dat het vooral om theoretische mogelijkheden gaat. Verifone heeft beloofd de Artema Hybrid-modules te voorzien van nieuwe software.

Artema Hybrid

Gerelateerde content

Alle gerelateerde content (22)

Reacties (46)

Die worden toch ook ik Nederland gebruikt?
Correct, deze worden zeer zeker ook in Nederland gebruikt!
Als het plaatje klopt worden ze ook in nederland gemaakt! Thales zit in hengelo en maakt meer van zulke apparaten (en bijv. ook de ov chipkaart incheck dingen)...
Heb je fysiek de beschikking over het apparaat dan is het altijd mogelijk ermee te rommelen.
Wellicht is de module die input verwerkt en communiceert met de bank goed beveiligd, je hebt altijd dat low-tech stukje numerieke keypad. Je zou bijvoorbeeld ook onder die toetsen een druk gevoelig sensortje kunnen plaatsen zodat je erg gemakkelijk de pincode van de klant kan achterhalen. Je kan daar wel iets minder mee dan de hack uit dit artikel, maar toch.
Of als je iets beter bent zou je de interface tussen het toetsenbordje en het systeembordje kunnen monitoren. Of een winkelier zou een zo goed als perfect verborgen camera'tje kunnen ophangen met een klein (tele)lensje erop (zoals die ook voor de iPhone te koop zijn.)
Zet hij het pin apparaatje vast op een bepaalde plek dan heeft hij waarschijnlijk 100% score.

http://www.megagadgets.nl/iphone-telelens.html

[Reactie gewijzigd door procyon op 15 juli 2012 11:16]

De dingen die jij zegt zijn wel goed afgedekt lijkt mij, je weet immers nooit of een bepaalde winkelier slechte bedoelingen heeft. Volgens jou kan een winkelier dus het apparaatje aanpassen naar eigen wens en dan 1 week in een tijdelijk pand een "uitverkoop" houden en vervolgens dubieuze transacties uitvoeren.

Mij lijkt het eerder dat die winkelier het apparaat niet open krijgt zonder dat die breekt of zichzelf helemaal uitschakelt, daarbij als je zo'n camera plaatst en hij wordt ontdekt (het moet immers zichtbaar zijn) dan is hij nog lang niet jarig. Daarbij is skimmen ook een stuk moeilijker in Nederland, de magneetstrip wordt namelijk niet meer gelezen (je kaart verdwijnt hier ook niet meer in het apparaat).

Kortom dat doemdenken van jou is nergens goed voor en al lang achterhaald.
Dat laatste is wel precies wat banken en de overheid graag willen dat je denkt en napraat.

Beveiligingsexperts waaronder hackers weten dat doemdenken verdraaid nuttig is als het gaat om dit soort dingen! Als je maar genoeg doemdenkt kom je uiteindelijk op een 'in acceptabele mate onveilig' systeem uit. Zover zijn we nog niet en met de verkeerde uitgangspunten gaat dat ook maar heel langzaam lukken.

Ook de banken weten het, want ze hebben expliciet regels afgesproken om klanten schadeloos te stellen in geval van hacken, skimmen, ongelukjes buiten schuld van de klant. Dat ze daar dan vervolgens moeilijk over doen in het nadeel van de klant (lees ervaringen op consumentenfora en dergelijke), is helaas des banks (en zolang dat vervelende oligopolie in stand blijft zal het nog wel zo blijven; wat dat betreft is het verregaande invoeren van Europees betalingsverkeer misschien een zegen).

[Reactie gewijzigd door mae-t.net op 15 juli 2012 18:26]

Het is onmogenlijk om een pincode te achterhalen van een betaalpas simpelweg door naar het transactieverkeer te kijken.
Met een camera kan het, maar op afstand met een een pc? Nee.

De meeste pinautomaten zitten ook VOL met sensors. Net als die oude pc's die vroeg of je nieuwe hardware had geinstaleerd omdat de klep open is geweest.
Het enige verschil is, dat als je een pinautomaat openmaakt, dat hij al zijn gegevens wist, en zichzelf blokeerd.
Transacties bewerken lijkt me ook stug, maar sluit ik niet buiten.

Wat ook niet kan, ik een transactie bewerken en zorgen dat het geld naar je eigen rekening kan. Daar zit veeel mere beveiliging achter.
Allereerst heb je een betaalautomaatcode nodig. Daarmee ga je naar je bank, en die koppellen bij Equens (of bij CCVPay als je CCV hebt) je rekeningnummer aan die code.
Dan moet die code nog in het apparaat zelf geweigigd worden. En bij een beetje leverancier gebeurd dat via de leverancier zelf, en kun je dit niet zelf fysiek in het apparaat zelf zetten.

Dus wat SRLabs heeft gezegt is grotendeels onzin.
@DrFurioux
Dus wat SRLabs heeft gezegd is grotendeels onzin.
Bewijs graag! Waar praat SRLabs onzin, noem me 1 ding svp.

Zo'n ding heeft een verbinding met buitenaf, welke per definitie misbruikt kan worden.
volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken.
Ook een seriŽle of Jtag poort is aanwezig op dit apparaat, opnieuw is dit een mogelijkheid tot verbinding met buitenaf welke dus per definitie misbruikt kan worden.
Ook is het mogelijk om de hack uit te voeren via de seriŽle of Jtag-poort op het apparaat.
Omdat de quotes zo leuk zijn dan nog maar een die even aangeeft hoe het werkt:
Hackers kunnen door middel van een buffer overflow eigen code draaien op de apparaten
Eigen code kunnen draaien, wat duidt op het kunnen uitlezen, aanvullen en of aanpassen van de firmware van het apparaat.

Het lijkt me dat het met dergelijke toegang hoe dan ook mogelijk is om verder te komen.

Een quote van jou:
Wat ook niet kan, ik een transactie bewerken en zorgen dat het geld naar je eigen rekening kan.
Dat staat ook nergens in het artikel. Wat er wel staat is:
Ook kunnen hackers transacties die met de pin-module zijn gemaakt aanpassen, of zelfs nep transacties creŽren.
Er staat niet dat de begunstigde aangepast wordt. Er staat dat de transacties aangepast kunnen worden en nep transacties gecreŽerd. Verander een betaling van 100 euro in 1 euro, maak van 1 betaling twee betalingen etc. etc. Maar wat schokkender is, men kan pincodes e.d. uitlezen wat het mogelijk maakt om:
waarmee kwaadwillenden bijvoorbeeld geld op kunnen nemen bij een geldautomaat.
Waaruit concludeer jij dat SRLabs onzin praat?
Wat zou er niet kloppen aan hun beweringen?
Er wordt niet gekeken naar extern betalingsverkeer, maar binnen de apparaten zelf kan alles gezien worden.
Verder vind ik nergens iets over het fysiek openen van de apparaten, dus lijkt mij het verhaal over de sensoren totaal niet van toepassing.
En je derde punt over begunstigde aanpassen wordt niet door SRLabs over gesproken.

Kun jij (of iemand anders) me zelfs maar 1 ding noemen dat onjuist is aan het verhaal van SRLabs?

edit @ hieronder:
Behoorlijke opmerkingen die je daar durft te maken, gewoon ronduit zeggen dat bekende beveiligingsonderzoekers leugenaars zijn. Zij beweren pincodes e.d. uit te kunnen lezen, jij zegt kan niet. Ik neem eerder hun woord aan dan dat van jou.
Ik dacht eerst dat je mss een typfout maakte, over een voorgaande reactie van procyon die deed alsof het eenvoudig was, maar niet dus.

Een evenementen organisator weet het beter dan bekende en erkende beveiligingsonderzoekers. Tuurlijk... :z |:(
Je weet het blijkbaar zelfs beter dan de fabrikant en de banken, die het wel serieus nemen.
Hadden ze het eerst maar bij DrFurioux nagevraagd, zou ze tijd en geld besparen!
Verifone heeft beloofd de Artema Hybrid-modules te voorzien van nieuwe software.
Zullen ze echt doen voor een grove leugen of niet?
De banken nemen het serieus maar zeggen erbij dat het voornamelijk theoretisch is aangezien de chip die tegenwoordig gebruikt wordt niet gekraakt is. Daardoor zou de originele kaart nog steeds benodigd zijn om geld op te kunnen nemen.

Ik snap niet dat iemand jou positief mod voor ongefundeerde beweringen dat SRLabs onzin praat, dat noem ik ongewenst.

Sluit jij je maar aan bij Nijn, maar ik denk hij niet bij jou.

[Reactie gewijzigd door JDVB op 17 juli 2012 13:09]

Maar wat schokkender is, men kan pincodes e.d. uitlezen
Pincodes uitlezen kan sowieso niet. Dat wordt zwaar gecodeerd verstuurd. Zelfs de pinleverancier kan dat niet.
Ook een seriŽle of Jtag poort is aanwezig op dit apparaat, opnieuw is dit een mogelijkheid tot verbinding met buitenaf welke dus per definitie misbruikt kan worden.
Al zou je een apparaat erop aansluiten, dan zit je als nog met de manier van communicatie tussen beide apparaten. Dat is geen simpel tcp/ip protocol. Daar zitten verschillende frequenties aan vast, en dat wordt ook nog eens versleuteld verstuurd.
Eigen code kunnen draaien, wat duidt op het kunnen uitlezen, aanvullen en of aanpassen van de firmware van het apparaat.
De terminal schiet dan meteen in de stress omdat hij dan geen verbinding kan maken met de host omdat hij niet over de juiste firmware beschikt. Hij schiet dan meteen in de beveiligingsmodum en wist al zijn gegevens.
Maar misschien werk jij wel bij een andere pinleverancier waarbij de beveiliging dus niet zo nauw wordt genomen..

@Mae-t.net: Elke beveiliging is inderdaad te omzeilen. Maar dan kunnen we met dat argument elke discussie wel de kop indruken.
Niets is tegenwooridg meer veilig =(

Voor de rest sluit ik me aan bij Nijn. Die snapt ook hoe het werkt =)

Offtopic: Waarom powermod je me als ongewenst? Dankzij die actie neem ik jou mening ontzettend serieus en denk ik oprecht dat jij gelijk hebt!
Als iemand het niet eens is met je, hoef je je niet gelijk als een klein kind te gedragen =')

edit:
Typo's

[Reactie gewijzigd door DrFurioux op 18 juli 2012 09:20]

Jij ziet de onmogelijkheden, een doemdenkende (of gewoon optimistische of naive) hacker ziet de mogelijkheden.

Als je over de hardware kunt beschikken, dan kan je die op je gemak doorlichten en modificeren. Tot nu toe is het de Roemenen (naar verluid vaak studenten aan de technische universiteit aldaar) altijd gelukt om op enige manier het systeem te saboteren dus ik zie niet in waarom dat op slag niet meer zou kunnen. Het wordt met een beetje geluk wel steeds moeilijker.

Kortom: Elke beveiliging is te omzeilen, maar soms is dat te moeilijk en duur in verhouding met het te behalen resultaat. Dan spreek je van een acceptabele situatie.

[Reactie gewijzigd door mae-t.net op 16 juli 2012 15:01]

Een en ander is gelukkig niet zo simpel als je denkt. Het openen van deze apparatuur, waaronder de keypads, maakt ze direct onklaar. De sleutels worden dan gewist, waardoor ze nutteloos worden.

De communicatie tussen pinpad en terminal is versleuteld, dus daar kun je ook niet vreselijk veel mee.

Vervolgens is een privacyscherm op het keypad verplicht. Daarmee worden camera's al een stuk moeilijker te gebruiken (maar niet onmogelijk, dat ben ik met je eens).

Dit alles en nog veel meer is onderdeel van decertificering die de apparaten moeten ondergaan, voordat ze toegelaten worden. Die certificering is ook nog is voor beperkte duur.

Dat is ook de reden dat er een hoop apparaten een jaar of 2 geleden zijn afgedankt. Je kon d'r niks meer mee want het certificaat was verlopen (en is niet verlengd). Toen is ook het laatste type apparaat wat geen self-destruct functie had verdwenen.
Hier een leuke (extreme)teardown van een dergelijk apparaat
http://www.youtube.com/watch?v=n9zPq4_Evvw

in alle hoeken en gaten zit beveiliging tegen het openmaken/modificeren.
electronisch rommelen met zo'n ding is bijna onmogelijk.

extern via t netwerk verbinding kunnen maken met t toestel(zoals in het artikel) is wel slecht zeg...
hoe precies dacht je dat zo een ding verifieerde of je balans op je rekening toereikend is, via een kans generator?

er is nog niet gezegd dat jij vanaf een afstand zomaar een connectie met het apparaat kan maken, man in the middle interceptie o.i.d. is waar ik aan zit te denken
dat is wel gezegd:
De hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken
Dit bedoel ik met "via t netwerk" (als buitenstaander) verbinding maken


k snap zelf ook wel dat er n netwerkverbinding moet zijn voor de betaalafhandeling ;)

[Reactie gewijzigd door marcel-o op 16 juli 2012 10:35]

De Artema Hybrid is niet goedgekeurd voor gebruik in Nederland en word daarom ook niet in Nederland gebruikt. Andere modellen van Verifone (die erop lijken) wel. Waarschijnlijk is dat de verwarring.

Hier kun je een lijst vinden van de voor in Nederland goedgekeurde pinterminals.

http://betaalterminal.hbd...?app=zoek_vaste_terminals
Heb grote twijfels bij die bewering, die modellen heb ik tot nu toe alleen nog maar in Duitsland gezien, in Nederland nog nooit.
Alleen het plaatje is geen verifone....

Verifone ziet er heel anders uit.

Overigens worden de mobiele automaten van verifone het meest gebruikt in nederland. Met name de Vx670. Eigenlijk een brak ding, toen ik voor een bedrijf storingen reed verving ik die dingen bij de vleet, en niet omdat ze gestuiterd waren, of in water gevallen, nee. Meestal gaven ze spontaan de geest.
De meeste automatie die ik zie zijn toch echt van CCV en niet van verifone.
Maar CCV heeft geen fabriek die zijn eigen pinautomaten maakt.
CCV verkoopt (net als ICP) automaten in bij Verifone, en verkoopt die vervolgens door en verleend daar service op.
er is geen veilige manier. Alleen een manier met beperkte veiligheidsrisico's. Ook echt geld is gevaarlijk, oude overschrijvingsformulieren waren onveilig. Dus waarom zouden we moeten denken en geloven dat een pinpas wel 100% kraakvrij is.

De grotere vraag is echter hoe eenvoudig het is om de beveiliging te omzeilen om aan het geld van een ander te kunnen komen.

Nou op deze manier heel eenvoudig. En als het ook al op afstand kan, is de detectie en pakkans erg klein.
Ik zeg altijd: beveiligingssoftware wordt gemaakt door een paar man, maar er springen altijd duizenden hackers bovenop om te kijken of zij het voor elkaar kunnen krijgen om de software te kraken. Dit blijkt ook altijd bij een nieuwe iOS versie, die altijd in verscheidene dagen is gekraakt.

Echter mag je er toch wel vanuit gaan dat ze de meest basic manieren van hacks voorkomen bij zulke machines. Een buffer overflow is echt de meest basic hack die ik me kan voorstellen en ik snap daarom ook niet dat Verifone dit niet heeft gezien voordat ze de apparaten op de markt brachten.

Het zal waarschijnlijk een kat en muisspel blijven, net zoals Apple elke keer een gat dicht, maar een ander, bekend gat, openlaat.

(Ik wil met deze post niet zeggen dat Apple het enige bedrijf is met dit probleem, maar het is zo'n mooi voorbeeld met de snelle jailbreaks enzo :))
Buffer overflow meest basic Hack?????
Komaan, de meest basic hacks zijn poorten die openstaan of
bekende exploits van softwareonderdelen. die niet zijn geupdate.
Buffer overflows zijn een stuk ingewikkelder om uit te buiten
zeker als je de broncode niet hebt.
Nou op deze manier heel eenvoudig
En waaruit concludeer je dat?
Dat het theoretisch kan, betekent niet meteen dat het ook praktisch eenvoudig uit te voeren is.
er is geen veilige manier. Alleen een manier met beperkte veiligheidsrisico's. Ook echt geld is gevaarlijk, oude overschrijvingsformulieren waren onveilig. Dus waarom zouden we moeten denken en geloven dat een pinpas wel 100% kraakvrij is.
Er zit alleen een groot verschil tussen echt geld en plastic geld. Bij echt geld wťťt ik ten minste wanneer het gestolen is, en kan ik het alleen aan mijzelf wijten. Daarbij komt dat het bedrag beperkt is tot het bedrag wat ik bij mij heb. Bij een pin-hack kan in ťťn keer alles weg zijn.

[edit] Het toeval wil dat mijn vriendin serieus net thuiskwam met het verhaal dat haar Oma gisteren naar de supermarkt was, waarna ze naar huis is gegaan. Voor haar huis stond een vrouw die er slecht aan toe was. Ze heeft die vrouw een glaasje water aangeboden en haar even naar binnen genomen. Uurtje later komt ze erachter dat haar pinpas weg is. Belletje naar de bank = §1500 gepind. Ze hebben waarschijnlijk gewoon haar pincode afgekeken in de supermarkt en zijn toen via die smoes haar huis binnen gekomen om haar pinpas te jatten. Omdat het geen skimmen was (het was echt haar pas met haar pincode waarmee er is gepind), krijgt ze niets terug.

@ bilgy_no1 hieronder. Ik weet niet hoe het met jou zit, maar ik heb niet vaak §1500 bij me.

[Reactie gewijzigd door kramer65 op 15 juli 2012 17:05]

[...]

Er zit alleen een groot verschil tussen echt geld en plastic geld. Bij echt geld wťťt ik ten minste wanneer het gestolen is, en kan ik het alleen aan mijzelf wijten. Daarbij komt dat het bedrag beperkt is tot het bedrag wat ik bij mij heb. Bij een pin-hack kan in ťťn keer alles weg zijn.
Je kunt daarom limieten instellen voor maximale betalingen per dag, er zijn al maxima voor geldopname in buitenland en bij andere banken dan je eigen bank. Ik zag laatst zelfs dat je een sms-melding kunt krijgen bij vreemde transacties. Hou verder dus ook je rekeningen goed in de gaten; net zoals je ook regelmatig onder je matras moet kijken om te weten of alles er nog ligt.

Voordeel van giraal geld: als je bent geskimd, dan krijg je meestal je geld terug van de bank. Als je oude sok is leeggeroofd kun je naar de politie, maar is de kans klein dat je ooit een cent terugziet.
Je krijgt meestal geld terug van de bank, maar er zijn genoeg mensen die het na een enkele poging maar opgeven. Banken moeten (om de veiligheid vergelijkbaar te houden met het contante verkeer) coulant omgaan met dit soort gevallen, maar ze zijn liever geen geld kwijt dus in de praktijk lees je zeer regelmatig dat ze Ťrg moeilijk doen als er ook maar de geringste twijfel is.
Hackers??
Dit zijn toch gewoon onderzoekers?
En die hebben kwetsbaarheden ontdekt in een PIN apparaat...

Meer niet, al doet de titel anders vermoeden.

[Reactie gewijzigd door Mars Warrior op 15 juli 2012 10:34]

Onderzoekers: ja.
Hackers? Ook:
hacker
A person who delights in having an intimate understanding of the
internal workings of a system, computers and computer networks in
particular.
Of ze moeten een hekel hebben aan hun eigen baan.

[Reactie gewijzigd door Caelorum op 15 juli 2012 10:37]

Hackers is eigenlijk een woord met een heel wijde betekenis. Hoewel het waar is dat het eerste waar mensen aan denken bij het woord "hacker", is dat dit iemand is die in computersystemen binnendringt om gegevens te stelen om zichzelf te verrijken, is een "hacker" niet meer of midner dan iemand die uitermate geÔnteresseerd is in hoe een netwerk/computer werkt. Eťn van de aspecten van achterhalen hoe een systeem werkt is idd beveiligingslekken, ie: "hoe veilig is dit systeem". Sommige hackers (zogenaamde black-hat hackers) gebruiken zo informatie voor slechte doeleinden, maar andere (white-hat hackers als ze door het bedrijf in dienst zijn genomen of grey-hat hackers als het om particulieren gaat die een dienst van iemand anders zonder toestemming hebben gekraakt maar hier onmiddelijk melding van maken en geen gegevens stelen) doen dit gewoon uit nieuwsgierigheid, eg:"Goh, zou het lukken om PIN-codes uit dit apparaat te halen?".

Dus ja, hackers kun je beschouwing als onderzoekers in die zin dat ze een systeem onderzoeken. En in deze situatie waren de hackers zelfs in dienst als onderzoekers/beveiligingsexperts, dus het waren zeker zowel hackers als onderzoekers.
Hacken beperkt zich zo ie zo niet alleen tot computers, kunnen ook aanpassingen zijn op electronica en dergelijke.
Zo ie zo? really? dat moest ik sowieso 2 keer lezen om te parsen. Maar dat terzijde.

Je hebt gelijk, maar het is zelfs nog wat breder dan jij zegt. Hackers omzeilen en doorgronden systemen. Dat kunnen ook sociale systemen zijn waar ze geen computer of electronica voor in elkaar hoeven te knutselen. Denk daarbij o.a. aan 'social engineering'
als er iets mis gaat met de pin-transactie, dan krijg je je geld terug van de bank
De termen hacker / cracker lopen vaak nogal door elkaar...
Karsten Nohl vind ik toch echt wel een van de beste voorbeelden van een hacker.
Ik heb er een in amsterdam noord zien staan, in een turkse bazaar.
Verifone is al jaren bekend dat ze zwakker zijn. Op m'n vorige werk plaatsten we vooral: http://www.eposhardware.co/products/3.jpg Helaas was hier al van bekend dat deze zeer snel en vaak geskimmed werden. Hierdoor mosten ze aan de lopende band vervangen worden.
Helaas zien de retail support bedrijven (NCR, Torex e.d.) dit niet in, en ook de winkels niet. Hierdoor blijven ze onnodige kosten maken terwijl er keer op keer weer wat fout gaat met die versies.
Om dit te doen moet je uitgebreid bij de kast kunnen. Dan zijn er wel eenvoudigere manieren om PIN's uit te lezen.
Dan heb je toch niet goed gelezen.
De hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken. Ook is het mogelijk om de hack uit te voeren via de seriŽle of Jtag-poort op het apparaat.
Redelijk verontrustend weer, dat er blijkbaar pinapparaten circuleren die niet op voorhand uitgebreid getest zijn op beveiligingsrisico's. Een buffer overflow had vooraf getest kunnen worden, het is ťťn van de bekendste beveiligingsrisico's!

Overigens is het ook niet de eerste keer dat het misgaat met 'pinapparaten', in Engeland is vrij recent ook een dergelijk onderzoek uitgevoerd.
Ubiquitous retailer debit-card readers vulnerable to hackers, experts say

[Reactie gewijzigd door scorpionv op 15 juli 2012 11:19]

Dat denk ik ook wel ja. Maar toch goed dat ze dit wel meteen als serieus beschouwen en niet meteen denken omdat het in theorie kan dat het nooit zal gebeuren.
Vaak gunt een fabrikant/leverancier zich geen tijd om naar (extra) 'veiligheid' te kijken. Vaak is de commerciŽle druk zo groot, dat om (alle) exploits te onderzoeken geen tijd/geld is.

Ik weet dat als banken (geldverwerkende) apparatuur aanschaffen, er wel (maanden zo niet jaren) aan testen op functionaliteit en kwetsbaarheid volgen.

Ik vind dat een degelijke test voor alle apparatuur welke transacties verwerken op een dergelijke manier getest moeten worden.
Het verbond van Duitse banken, de Deutsche Kreditwirtschaft, heeft in een reactie laten weten de door SRLabs gepubliceerde zwakheden serieus te nemen, maar claimt dat het vooral om theoretische mogelijkheden gaat.
Wat een white-hatter hoort:
"Uitdaging: schrijf een proof-of-concept"

Wat een black-hatter hoort:
"Stiekem nemen we het toch niet serieus, dus als je dit kunt exploiten dan kun je er nog wel een tijdje ongestoord misbruik van maken"

Een buffer-overflow in een gecertificeerd apparaat... ehm tja, wat moet je daar nou van zeggen. :X

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013