Geldautomaten bevatten verschillende kwetsbaarheden waar aanvallers eenvoudig misbruik van kunnen maken om de inhoud te legen of de kaartgegevens van gebruikers te kopiëren, zo hebben onderzoekers van securitybedrijf Positive Technologies tijdens een beveiligingstest aangetoond.
Voor de test werden 26 geldautomaten van fabrikanten NCR, Diebold Nixdorf en GRGBanking onderzocht. De geldautomaten draaiden op aangepaste versies van Windows XP, Windows 7 en Windows 10, waarbij Windows XP de meestgebruikte Windowsversie was. Al jaren zijn geldautomaten het doelwit van aanvallen, waarbij aanvallers via fysieke toegang of het netwerk van de geldautomaat toegang tot de geldcassettes weten te krijgen. Zo zijn er meerdere incidenten bekend waarbij een geldautomaat met malware werd besmet, waardoor de inhoud van de geldcassettes kon worden geleegd.
Voor hun onderzoek kwamen de onderzoekers met verschillende aanvalsscenario's gebaseerd op echte aanvallen. Zo bleek 85 procent van de geteste geldautomaten kwetsbaar voor een aanval via het netwerk. Een aanval die binnen 15 minuten is uit te voeren. Ook bleken de netwerkdiensten van 58 procent van de geldautomaten kwetsbaar en was iets meer dan een kwart kwetsbaar voor spoofing, omdat de data tussen de geldautomaat en de verwerker niet was beveiligd.
Een ander probleem werd aangetroffen bij de kioskmode. Een normale gebruiker gebruikt één applicatie op de geldautomaat, die informatie op het scherm toont en invoer van de gebruiker verwerkt. Deze applicatie draait in de kioskmode, waardoor de gebruiker geen andere programma's of het besturingssysteem kan benaderen. Door het verlaten van de kioskmode kan een aanvaller deze beperkingen omzeilen en commando's op het besturingssysteem van de geldautomaat uitvoeren. Bij 76 procent van de geteste automaten was het mogelijk om de kioskmode te verlaten.
92 procent van de geldautomaten was daarnaast kwetsbaar voor aanvallen op de harde schijf. Wanneer de harde schijf niet is versleuteld kan een aanvaller malware op het systeem kopiëren en aan de applicatie-whitelist toevoegen door configuratiebestanden aan te passen. Wanneer de geldautomaat wordt herstart kan de aanvaller zijn malware uitvoeren.
Een ander risico is het opstarten vanaf een externe schijf. De bootvolgorde staat in het BIOS vastgelegd, dat met een wachtwoord beveiligd zou moeten zijn. Bij 23 procent van de geldautomaten was het BIOS-wachtwoord eenvoudig te raden en 8 procent had helemaal geen wachtwoord ingesteld.
Over de hele linie ontdekten de onderzoekers kwetsbaarheden zoals ongepatchte beveiligingslekken, het niet gebruik van schijfversleuteling, de mogelijkheid om willekeurige usb-apparaten aan te sluiten, slechte firewallbescherming en configuratiekwetsbaarheden. Aanwezige beveiligingsmaatregelen waren in bijna alle gevallen te omzeilen.
De onderzoekers roepen fabrikanten dan ook op om de fysieke beveiliging van geldautomaten te verbeteren. De meeste aanvallen vereisen namelijk fysieke toegang tot de computer en aansluitpoorten van de geldautomaat. Een andere maatregel is het loggen en monitoren van beveiligingsincidenten.
Deze posting is gelocked. Reageren is niet meer mogelijk.