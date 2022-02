Sicherheitslücke bei Supermarkt-Pfandsystem

Forscher konnten in Supermarkt gefälschte Pfandbons einlösen

Ein unzureichendes Sicherheitskonzept kann in diesem Bereich dazu führen, dass Kriminelle potenziell Geld drucken können. Im Gegenzug zu bekannten Tricks wie der Manipulation von Automaten [3][4], der Verwendung von Angelschnüren oder sogar Diebstahl von Getränkekisten[5] setzt unser Angriff nur übliches Büro-Equipment, etwas Know-how und eine Portion Geduld voraus Jovan Zivanovic, Sicherheitsforscher 1/4

Betrug am Pfandautomaten ist ein bekanntes Problem. Besonders bei alten Automaten gibt es Schwierigkeiten bei der Flaschenerkennung, das heißt ob eine Flasche tatsächlich Pfandgut ist. Die Erkennung von Form, Material und Gewicht ermöglicht es modernen Automaten gegen Betrugsversuche zu schützen. Wir vermuten jedoch, dass diese Mechanismen noch nicht überall implementiert sind Dimitris Simos, Leiter der MATRIS-Forschungsgruppe 2/4

Eine Behebung der Schwachstelle ist grundsätzlich möglich Manuel Leithner, Leiter des CST-Teams 3/4

Eine Korrektur seitens des Herstellers steht für neuere Automatenmodelle zur Verfügung. Diese kann jedoch zu Mehrkosten für die Betreiber führen, bei alten Maschinen ist sogar ein Austausch nötig. Die Einführung des Plastik- und Dosenpfands wäre eine gute Gelegenheit, diese Sicherheitslücke zu schließen. Grundsätzlich ist auch die Verwendung von selbst entwickelten Mechanismen zur Erkennung von Fälschungen möglich Manuel Leithner, Leiter des CST-Teams 4/4

Wien (OTS) - Glas, Plastik, Dosen: Spätestens seit der Ankündigung[1] der österreichischen Bundesregierung, ab 2025 ein Pfand auf Plastikflaschen und Getränkedosen einzuführen[2], ist das Thema wieder in der Mitte der Gesellschaft angekommen. Als bewährtes Mittel zur Vermeidung und Trennung von Abfall sind Pfandsysteme eine attraktive Methode, um in Zeiten des erhöhten Umweltbewusstseins den Überresten der Konsumgesellschaft Herr zu werden.

Dabei sollte jedoch das Thema Sicherheit nicht zu kurz kommen, wie eine neue Untersuchung des Combinatorial Security Testing (CST)-Teams der Forschungsgruppe MATRIS im Wiener COMET-Zentrum SBA Research zeigt. Mithilfe eines handelsüblichen Rechnungsdruckers war es den Forschern möglich, Pfandbons zu manipulieren. „ Ein unzureichendes Sicherheitskonzept kann in diesem Bereich dazu führen, dass Kriminelle potenziell Geld drucken können. Im Gegenzug zu bekannten Tricks wie der Manipulation von Automaten [3][4], der Verwendung von Angelschnüren oder sogar Diebstahl von Getränkekisten[5] setzt unser Angriff nur übliches Büro-Equipment, etwas Know-how und eine Portion Geduld voraus “, sagt Sicherheitsforscher Jovan Zivanovic, der die Erforschung dieser Schwachstelle leitet.

In einem Supermarkt in Wien konnte das Team erfolgreich gefälschte Pfandbons gegen Waren eintauschen. Ihren Nachforschungen zufolge ist es wahrscheinlich, dass nicht nur einzelne Filialen, sondern ganze Supermarkt-Ketten von dieser Schwachstelle betroffen sind. Dies bestätigt auch Dimitris Simos, Leiter der MATRIS-Forschungsgruppe: „ Betrug am Pfandautomaten ist ein bekanntes Problem. Besonders bei alten Automaten gibt es Schwierigkeiten bei der Flaschenerkennung, das heißt ob eine Flasche tatsächlich Pfandgut ist. Die Erkennung von Form, Material und Gewicht ermöglicht es modernen Automaten gegen Betrugsversuche zu schützen. Wir vermuten jedoch, dass diese Mechanismen noch nicht überall implementiert sind ."

„ Eine Behebung der Schwachstelle ist grundsätzlich möglich “, bekräftigt Manuel Leithner, Leiter des CST-Teams. „ Eine Korrektur seitens des Herstellers steht für neuere Automatenmodelle zur Verfügung. Diese kann jedoch zu Mehrkosten für die Betreiber führen, bei alten Maschinen ist sogar ein Austausch nötig. Die Einführung des Plastik- und Dosenpfands wäre eine gute Gelegenheit, diese Sicherheitslücke zu schließen. Grundsätzlich ist auch die Verwendung von selbst entwickelten Mechanismen zur Erkennung von Fälschungen möglich .“

Im Laufe der letzten Monate wurden der Automaten-Hersteller und betroffene Supermarkt-Ketten kontaktiert und über die Schwachstelle informiert. Wie dieses Beispiel deutlich zeigt, darf Security in der Entwicklung von Pfandsystemen keine nachträgliche Überlegung sein.

[1] https://www.ots.at/redirect/infothek1

[2] https://oesterreich.orf.at/stories/3125584/

[3] https://www.ots.at/redirect/sueddeutsche5

[4] https://www.ots.at/redirect/spiegel8

[5] https://www.ots.at/redirect/schwaebische

Rückfragen & Kontakt:

SBA Research

Mobil: +43 664 88 00 11 51

Email: presse @ sba-research.org

https://www.sba-research.org/

https://matris.sba-research.org/



Manuel Leithner

mleithner @ sba-research.org



Jovan Zivanovic

jzivanovic @ sba-research.org



Abkürzungsverzeichnis:

Combinatorial Security Testing (CST)

Mathematics for Testing, Reliability, and Information Security (MATRIS)