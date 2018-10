Handy-Payment-App für Automaten von Selecta-Tochter gehackt

In Italien hat ein Smartphone-Software-Entwickler mit Freude am Hacken eine Smartphone-App missbraucht und sich selbst ein Guthaben gutgeschrieben, um bei Argenta-Automaten Kaffee herauszulassen. Dies meldet die Informatik-Newsplattform 'BleepingComputer'h.Argenta gehört zur Schweizer Selecta Gruppe und bietet in ganz Italien Automatenverpflegung und Kaffeeservices an. Dabei erlauben die Automaten via Bluetooth Low Energy (BLE) und Near Field Communication (NFC) Zahlungen mit dem Smartphone abzuwickeln.Und genau diese Zahlungsoption hat der Italiener Matteo Pisanin genutzt, um die Argenta-Mobile-App zu hacken. Pisanin ist laut LinkedIn-Profil ein Bluetooth- und VR-Spezialist für Mobile Geräte und wird als Mitgründer sowie CTO eines Startups namens Remoria vorgestellt. Dass es zu dem Vorfall kam und die Payment-App missbraucht wurde, hat die Selecta-Pressestelle gegenüber inside-it.ch nun bestätigt."Es habe sich um einen Einzelfall" gehandelt, kommentiert Selecta das Loch inder App. "Es waren keine Kunden betroffen. Wir haben schnell reagiert und die Sicherheit der App aktualisiert." Auch die Behauptung von Pisanin, es gebe bei der App keine besonderen Anstrengungen zum Schutz der Benutzerdaten und zum Schutz der App überhaupt, bestreitet die Pressestelle von Selecta.Pisanin hat den Hack jedenfalls bei 'BleepingComputer' Schritt für Schritt beschrieben. Demnach hat er auf der Suche nach einer Schwachstelle die mit den Automaten interagierende App zunächst dekompiliert. Dann habe er sie neu verpackt und auf seinem Smartphone installiert. Bei der anschliessenden Überwachung der Aktivitäten habe er Hinweise auf RushOrm gefunden. Dies ist ein Tool für Android, das Java-Klassen auf SQL-Tabellen abbildet.Er fand heraus, dass die mobile App eine Datenbank namens "argenta.db" verwendet und extrahierte sie. Um ihren Passwortschutz aufzuheben, entdeckte er in der Konfigurationsdatei unter anderem die Tabelle "UserWallets", die mit einem editierbaren Feld "walletCredit" ausgestattet war.Damit, heisst es auf 'Bleepingcomputer' weiter, teilt dieser Eintrag der App mit, wieviel Guthaben der Benutzer bei Argento-Automaten ausgeben kann. Pisanin habe dann ein Android-Tool entwickelt, das die Interaktion mit der Datenbank automatisiert und Wallet-bezogene Änderungen ausführt. Ohne einen Euro Kredit zu haben, konnte er sich 999 Euro zuteilen.Weiter erklärt der Hacker, wie er grosse Teile sauberen Codes der App gefunden habe. "Das bedeutet, dass keine grossen Gegenmassnahmen ergriffen wurden, um Benutzerdaten zu schützen und die App überhaupt sicher zu machen", sagt Pisanin. Nicht unverständlich ist, dass im uns vorliegenden Mail von Selecta diese Aussage Pisanins ausdrücklich bestritten wird. Die Muttergesellschaft Selecta hatte schon 2011 in der ganzen Schweiz das Bezahlen an ihren Automaten via Handy eingeführt. (vri)