Sicherheitslücke bei Supermarkt-Pfandsystem
Sicherheitslücke bei Supermarkt-Pfandsystem
Forscher konnten in Supermarkt gefälschte Pfandbons einlösen
Wien (OTS) – Glas, Plastik, Dosen: Spätestens seit der Ankündigung[1] der österreichischen Bundesregierung, ab 2025 ein Pfand auf Plastikflaschen und Getränkedosen einzuführen[2], ist das Thema wieder in der Mitte der Gesellschaft angekommen. Als bewährtes Mittel zur Vermeidung und Trennung von Abfall sind Pfandsysteme eine attraktive Methode, um in Zeiten des erhöhten Umweltbewusstseins den Überresten der Konsumgesellschaft Herr zu werden.
Dabei sollte jedoch das Thema Sicherheit nicht zu kurz kommen, wie eine neue Untersuchung des Combinatorial Security Testing (CST)-Teams der Forschungsgruppe MATRIS im Wiener COMET-Zentrum SBA Research zeigt. Mithilfe eines handelsüblichen Rechnungsdruckers war es den Forschern möglich, Pfandbons zu manipulieren. „Ein unzureichendes Sicherheitskonzept kann in diesem Bereich dazu führen, dass Kriminelle potenziell Geld drucken können. Im Gegenzug zu bekannten Tricks wie der Manipulation von Automaten [3][4], der Verwendung von Angelschnüren oder sogar Diebstahl von Getränkekisten[5] setzt unser Angriff nur übliches Büro-Equipment, etwas Know-how und eine Portion Geduld voraus“, sagt Sicherheitsforscher Jovan Zivanovic, der die Erforschung dieser Schwachstelle leitet.
In einem Supermarkt in Wien konnte das Team erfolgreich gefälschte Pfandbons gegen Waren eintauschen. Ihren Nachforschungen zufolge ist es wahrscheinlich, dass nicht nur einzelne Filialen, sondern ganze Supermarkt-Ketten von dieser Schwachstelle betroffen sind. Dies bestätigt auch Dimitris Simos, Leiter der MATRIS-Forschungsgruppe:
„Betrug am Pfandautomaten ist ein bekanntes Problem. Besonders bei alten Automaten gibt es Schwierigkeiten bei der Flaschenerkennung, das heißt ob eine Flasche tatsächlich Pfandgut ist. Die Erkennung von Form, Material und Gewicht ermöglicht es modernen Automaten gegen Betrugsversuche zu schützen. Wir vermuten jedoch, dass diese Mechanismen noch nicht überall implementiert sind.”
„Eine Behebung der Schwachstelle ist grundsätzlich möglich“, bekräftigt Manuel Leithner, Leiter des CST-Teams. „Eine Korrektur seitens des Herstellers steht für neuere Automatenmodelle zur Verfügung. Diese kann jedoch zu Mehrkosten für die Betreiber führen, bei alten Maschinen ist sogar ein Austausch nötig. Die Einführung des Plastik- und Dosenpfands wäre eine gute Gelegenheit, diese Sicherheitslücke zu schließen. Grundsätzlich ist auch die Verwendung von selbst entwickelten Mechanismen zur Erkennung von Fälschungen möglich.“
Im Laufe der letzten Monate wurden der Automaten-Hersteller und betroffene Supermarkt-Ketten kontaktiert und über die Schwachstelle informiert. Wie dieses Beispiel deutlich zeigt, darf Security in der Entwicklung von Pfandsystemen keine nachträgliche Überlegung sein.
* * *
[1] [https://www.ots.at/redirect/infothek1]
(https://www.ots.at/redirect/infothek1)
[2] [https://oesterreich.orf.at/stories/3125584/]
(https://oesterreich.orf.at/stories/3125584/)
[3] [https://www.ots.at/redirect/sueddeutsche5]
(https://www.ots.at/redirect/sueddeutsche5)
[4] [https://www.ots.at/redirect/spiegel8]
(https://www.ots.at/redirect/spiegel8)
[5] [https://www.ots.at/redirect/schwaebische]
(https://www.ots.at/redirect/schwaebische)
SBA Research
Mobil: +43 664 88 00 11 51
Email: presse@sba-research.org
https://www.sba-research.org/
https://matris.sba-research.org/
Manuel Leithner
mleithner@sba-research.org
Jovan Zivanovic
jzivanovic@sba-research.org
Abkürzungsverzeichnis:
Combinatorial Security Testing (CST)
Mathematics for Testing, Reliability, and Information Security (MATRIS)
OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
© Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender