Die Firma Kobil Systems, ein Spezialist für mobile Sicherheitslösungen, erklärt, die Sicherheitslücke bei ihrem Chipkartenleser »Kaan« mittlerweile beseitigt zu haben.

Die Kobil Systems GmbH ist ein Hersteller von mobilen IT-Sicherheitslösungen im Bereich der digitalen Identität. In der Online Ausgabe vom zweiten Juni 2010 berichtet heise.de vom erfolgreichen »Hack« des Chipkartenleser »Kaan TriB@nk« der Firma Kobil. Kobil habe sofort nach Kenntnisnahme des erfolgreichen Angriffs auf den Chipkartenleser Ende April, das Sicherheitsupdate zur Schließung dieser Lücke auf seiner Webseite zur Verfügung gestellt, sowie die betroffenen Institute zur weiteren Vorgehensweise kontaktiert.

Der Angriff zielte dabei direkt auf eine sich nicht mehr bei aktuellen Geräten im Umlauf befindliche alte Firmware. Dabei wurde durch den Hacker die alte Firmware durch eine manipulierte Firmware ausgetauscht. Dieser Vorgang ist bei der neuen Firmware nicht möglich. Der sofort von Kobil zur Verfügung gestellte Sicherheitspatch, lässt diese Möglichkeit des Firmwareaustauschs auch bei Geräten mit alter Firmware nicht mehr zu. Es befindet sich derzeit nur eine geringe Stückzahl von Geräten im Umlauf, bei denen dieser theoretische Angriff möglich ist.

Firmwareaustausch benötigt immensen Zeitaufwand

Nach Kobil-Erkenntnissen bedarf es eines immensens Zeitaufwandes, solch einen Firmwareaustausch, wie in diesem Falle vorzunehmen. Ein erfolgreicher Angriff ist nur dann möglich, wenn der Benutzer des Kartenlesers durch einen Trojaner oder andere Schadprogramme direkt und explizit auf den Kartenleser angegriffen wird, und somit der Angreifer auf dessen Unachtsamkeit abzielt. Aktuelle Virenschutzprogramme können dies bereits wirksam unterbinden.