Eine Nespresso-Karte mit 167.772,15 Euro Guthaben hat sich ein Sicherheitsforscher über eine Sicherheitslücke generiert.
Über eine Sicherheitslücke konnte sich Polle Vanhoof eine Kaffee-Flatrate im Wert von 167.772,15 Euro verschaffen. Der Sicherheitsforscher konnte ein Bezahlsystem, das bei vielen Nespresso-Kaffeeautomaten von Nestlé eingesetzt wird, derart manipulieren, dass er mehr als genug Guthaben für seinen Kaffeekonsum hatte.
Grund für das hohe Guthaben sind die von Nespresso verwendeten Mifare-Classic-Smartcards, die bereits 2008 geknackt wurden und sich klonen und manipulieren lassen. Trotz der eigentlich nicht mehr vorhandenen Sicherheit wurden und werden die Smartcards weiterhin eingesetzt. Beispielsweise konnten Sicherheitsforscher 2019 eine Alarmanlage von Abus mit geklonten Mifare-Classic-Chipkarten deaktivieren.
Zu Beginn habe er die Verschlüsselungsschlüssel auf der Nespresso-Bezahlkarte mit dem Tool mfoc geknackt. Das Tool gebe den Schlüssel sowie den entschlüsselten Speicherinhalt der Karte aus. Wegen eines Bugs in der Software habe dies jedoch nicht sofort funktioniert. Ein Pull-Request, der das Problem beheben soll, sei noch offen. Das Tool werde wohl nicht mehr weiterentwickelt, vermutet Vanhoof.
Eigenes Guthaben auf die Mifare-Classic-Karte schreiben
Er lud die Karte auf und holte sich einen Kaffee. Dabei verglich er die Veränderungen im Speicher der Karte. Nach einigen Tests konnte er die 3 Bytes finden, in denen der verfügbare Betrag auf der Karte gespeichert wurde. "Der maximal mögliche Betrag auf einer dieser Karten ist also 167.772,15 Euro", berichtet Vanhoof.
Anschließend schrieb der Sicherheitsforscher den Maximalwert mit Hilfe des nfc-mfclassic-Tools auf die Nespresso-Karte und konnte nun ohne Ende Kaffee an den Automaten ziehen. Seinen Fund meldete der Sicherheitsforscher am 24. September 2020 an Nestlé. Nun veröffentlichte er die Informationen mit Zustimmung der Herstellers.
Dieser biete ohnehin bereits sicherere Optionen wie eine Speicherung des Guthabens auf einem Server oder neueren Mifare-Smartcards an. Betreiber der Kaffeeautomaten, die noch auf Mifare-Classic setzen, sollten auf eines der sichereren Verfahren wechseln, rät Vanhoof.
Quelle; golem
Über eine Sicherheitslücke konnte sich Polle Vanhoof eine Kaffee-Flatrate im Wert von 167.772,15 Euro verschaffen. Der Sicherheitsforscher konnte ein Bezahlsystem, das bei vielen Nespresso-Kaffeeautomaten von Nestlé eingesetzt wird, derart manipulieren, dass er mehr als genug Guthaben für seinen Kaffeekonsum hatte.
Grund für das hohe Guthaben sind die von Nespresso verwendeten Mifare-Classic-Smartcards, die bereits 2008 geknackt wurden und sich klonen und manipulieren lassen. Trotz der eigentlich nicht mehr vorhandenen Sicherheit wurden und werden die Smartcards weiterhin eingesetzt. Beispielsweise konnten Sicherheitsforscher 2019 eine Alarmanlage von Abus mit geklonten Mifare-Classic-Chipkarten deaktivieren.
Zu Beginn habe er die Verschlüsselungsschlüssel auf der Nespresso-Bezahlkarte mit dem Tool mfoc geknackt. Das Tool gebe den Schlüssel sowie den entschlüsselten Speicherinhalt der Karte aus. Wegen eines Bugs in der Software habe dies jedoch nicht sofort funktioniert. Ein Pull-Request, der das Problem beheben soll, sei noch offen. Das Tool werde wohl nicht mehr weiterentwickelt, vermutet Vanhoof.
Eigenes Guthaben auf die Mifare-Classic-Karte schreiben
Er lud die Karte auf und holte sich einen Kaffee. Dabei verglich er die Veränderungen im Speicher der Karte. Nach einigen Tests konnte er die 3 Bytes finden, in denen der verfügbare Betrag auf der Karte gespeichert wurde. "Der maximal mögliche Betrag auf einer dieser Karten ist also 167.772,15 Euro", berichtet Vanhoof.
Anschließend schrieb der Sicherheitsforscher den Maximalwert mit Hilfe des nfc-mfclassic-Tools auf die Nespresso-Karte und konnte nun ohne Ende Kaffee an den Automaten ziehen. Seinen Fund meldete der Sicherheitsforscher am 24. September 2020 an Nestlé. Nun veröffentlichte er die Informationen mit Zustimmung der Herstellers.
Dieser biete ohnehin bereits sicherere Optionen wie eine Speicherung des Guthabens auf einem Server oder neueren Mifare-Smartcards an. Betreiber der Kaffeeautomaten, die noch auf Mifare-Classic setzen, sollten auf eines der sichereren Verfahren wechseln, rät Vanhoof.
Quelle; golem
