Onderzoekers hebben een ernstig beveiligingslek in geldautomaten van fabrikant Diebold ontdekt waardoor onbevoegdheden toegang tot het geld in de automaat kunnen krijgen (pdf). Traditioneel zijn geldautomaten zonder scheiding van de kluis en het interne besturingssysteem ontwikkeld.

Om dit beveiligingsrisico tegen te gaan ontwikkelde Diebold het AFD-platform. Hierbij is er een apart gedeelte voor de kluis en het besturingssysteem, die elk een aparte authenticatie vereisen. Tijdens onderzoek naar de Opteva-geldautomaat dat van dit platform gebruikmaakt, ontdekten onderzoekers van securitybedrijf IOActive een kwetsbaarheid waardoor een aanvaller met fysieke toegang, de inhoud van de kluis kan legen.

De voorkant van de geldautomaat bevat een luidsprekergat waarin de onderzoekers een metalen staaf konden steken om zo de metalen balk, die het gedeelte met de computer afschermt, omhoog te tillen. Zodoende was het mogelijk om toegang tot de Windowscomputer te krijgen. Vervolgens werd de usb-verbinding van de machine verwijderd, zodat de onderzoekers direct met de AFD-controller binnen de kluis konden communiceren. Via een andere kwetsbaarheid konden de onderzoekers zich als een geauthenticeerde gebruiker voordoen en zo toegang tot de inhoud van de kluis krijgen.

IOActive informeerde Diebold vorig jaar februari en had verschillende keren contact met de fabrikant. Zo stelde Diebold dat het gebruikte onderzoekssysteem oud en ongepatcht was. De onderzoekers vroegen of het probleem dat ze hadden gevonden inmiddels in nieuwere versies van de firmware was gepatcht en boden aan het onderzoek met nieuwe firmware uit te voeren. Ondanks verschillende pogingen gaf Diebold geen reactie. Het is dan ook onduidelijk of het probleem inmiddels is opgelost. IOActive heeft 18 maanden na het eerste contact nu de details vrijgegeven.