Een gapend gat in het authenticatiemechanisme om de firmware van geldautomaten te updaten, zorgt ervoor dat hackers op afstand de machines geld kunnen laten uitspugen. Tijdens tijdens de Black Hat conferentie demonstreerde beveiligingsonderzoeker Barnaby Jack hoe hij met een zelfgemaakt programma genaamd “Dillinger”, vernoemd naar de bekende bankovervaller, het interne besturingssysteem kan overschrijven en zo volledige controle over de geldautomaat krijgt.

Jack liet twee manieren zien om op Windows CE-gebaseerde geldautomaten over te nemen. De eerste is een fysieke aanval met een op het web gekochte 'master key' en een USB-stick om de firmware te overschrijven. De tweede manier betrof een aanval op afstand, waarbij de onderzoeker een lek misbruikt in de manier waarop de geldautomaten van Triton en Tranax firmware upgrades authenticeren. Jack gaf geen details vrij, maar liet wetten dat een ervaren hacker de gedemonstreerde technieken ook zou kunnen toepassen als fabrikanten van geldautomaten dit soort lekke software blijven leveren. Daarnaast zou de aanval niet alleen op de automaten van Triton en Tranax zijn toe te passen, maar ook op andere merken.

Jackpot
"Er zijn aanvalsvectoren in al deze losstaande en gat-in-de-muur geldautomaten", waarschuwde Jack. Veel van de geldautomaten zijn beveiligd via een master key die voor zo'n tien dollar op het web is te kopen. Daarmee kan een aanvaller toegang tot de USB en SD/CF poorten krijgen. "In sommige gevallen was het openen en het inpluggen van mijn USB-stick sneller dan het installeren van een skimmingapparaat."

De "Dillinger" tool gaf Jack volledige controle over de automaat, waarna er een rootkit geïnstalleerd wordt. Via de optie "Jackpot!" kon hij op afstand de machine vervolgens geld laten uitspugen, maar ook het kopiëren van ingevoerde pinpassen behoort tot de mogelijkheden. Vorig jaar werd de lezing van Jack onder druk van zijn toenmalige werkgever Juniper Networks geannuleerd.