Sicherheitslücke in Schweizer Zahlungsterminal: Unverschlüsselte Firmware und zugängliche Root-Shell
Ein Sicherheitsforscher hat ein in der Schweiz weit verbreitetes Worldline Yomani XR-Zahlungsterminal reverse-engineered und dabei unverschlüsselte Firmware und eine öffentlich zugängliche Root-Shell entdeckt. Trotz physischer Manipulationsschutzmaßnahmen ist der Debug-Port von außen zugänglich, sodass Angreifer innerhalb von 30 Sekunden Root-Zugriff erhalten und Malware installieren können. Eine tiefere Analyse zeigte jedoch, dass das Linux-System keine sensiblen Daten (wie Kartendetails) verarbeitet; ein separater, verschlüsselter und signierter Prozessor übernimmt die Sicherheitsfunktionen. Obwohl es sich um einen erheblichen Fehler in der Softwareentwicklung handelt, ist das direkte Risiko möglicherweise geringer als zunächst befürchtet.