Zwakke plekken ontdekt in betaalterminals

Stefan Grommen Stefan Grommen est rédacteur de Data News.

Onderzoekers van het Duitse Security Research Labs (SRLabs) hebben naar eigen zeggen zwakke plekken gevonden in bepaalde elektronische betaalterminals van het Amerikaanse Verifone Systems. Het gaat om de Artema Hybrid, een terminal die ook in ons land door handelaars wordt gebruikt. SRLabs ontdekte dat er in de firmware van de toestellen zwakke plekken zitten. Via een zogenaamde ‘buffer overflow’ zouden hackers eigen code op de toestellen kunnen uitvoeren. Op die manier zouden ze de informatie op de magneetstrip en zelfs de pincode kunnen stelen. Zo kunnen ze een exacte kopie van de kaart maken en die ook gebruiken. Ook zouden ze valse transacties kunnen genereren met het toestel of transacties kunnen wijzigen.

Onderzoekers van het Duitse Security Research Labs (SRLabs) hebben naar eigen zeggen zwakke plekken gevonden in bepaalde elektronische betaalterminals van het Amerikaanse Verifone Systems. Het gaat om de Artema Hybrid, een terminal die ook in ons land door handelaars wordt gebruikt.

SRLabs ontdekte dat er in de firmware van de toestellen zwakke plekken zitten. Via een zogenaamde ‘buffer overflow’ zouden hackers eigen code op de toestellen kunnen uitvoeren. Op die manier zouden ze de informatie op de magneetstrip en zelfs de pincode kunnen stelen. Zo kunnen ze een exacte kopie van de kaart maken en die ook gebruiken. Ook zouden ze valse transacties kunnen genereren met het toestel of transacties kunnen wijzigen. De hack zou zowel via het netwerk (bijvoorbeeld een pc die op hetzelfde netwerk draait) als via de seriële of jtag-poort op het toestel kunnen gebeuren.

Verifone zou op de hoogte gebracht zijn van de kwetsbaarheden. Het bedrijf zegt aan PCWorld dat het echter de aanval nog niet heeft kunnen repliceren. Verifone zou niettemin voor nieuwe firmware zorgen. Het verbond van Duitse banken, de Deutsche Kreditwirtschaft, heeft dan weer laten weten dat het de zaak serieus te neemt. Toch stelt de organisatie dat het vooral om theoretische mogelijkheden gaat.

Ook in ons land? De Artema Hybrid is in feite een toestel dat uit de Thales-stal komt. Hypercom kocht de terminalpoot van Thales in 2008. Verifone nam Hypercom een jaar geleden over. In Duitsland is het één van de meest gebruikte kaartterminals. Ook in ons land wordt de Artema Hybrid gebruikt. Ze worden verdeeld door B+S, Keyware, BTG Europe en Easycash.

Moeten de Belgische handelaars die een Artema Hybrid in huis hebben – en dus ook hun klanten – dan vrezen voor hacks? Weinig waarschijnlijk, denkt Francis Ceuterick van EPCI/Acquiris, het certificatie-instituut voor betaalterminals. “De Belgische Artema Hybrid heeft specifieke C-TAP-software (de applicatie om de kaarttransactie te verwerken, nvdr), die door EPCI ge-audit werd. Die software, die ontwikkeld is door Thales Parijs, heeft geen relatie met de Duitse software die ontwikkeld is door Thales Duitsland volgens het specifieke Duitse ‘ZVT-protocol’ onder het toezicht van de Zentraler Kreditausschuss (ZKA). Het is dus weinig waarschijnlijk dat dezelfde ‘Duitse’ zwakke plekken ook in de Belgische software zitten.” Ceuterick zegt dat EPCI dat natuurlijk wel voor de zekerheid zal nagaan.

Toch bestaat er wel degelijk een kans dat er hier en daar ook toestellen met de kwetsbare Duitse software in ons land gebruikt worden, geeft Ceuterick toe. “Hypercom verkocht de commerciële tak van zijn Belgische filiaal vorig jaar aan een Duitse betalingsverwerker B+S. En B+S zet sinds kort ook niet door EPCI/Acquiris gecertifieerde terminals met de Duitse ZVT-software op de Belgische markt op basis van dezelfde Artema Hybrid-hardware”, aldus nog Ceuterick.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content