Forschende von SEC Consult (Eviden) haben eine kritische Schwachstelle in der Zahlungsinfrastruktur von KioSoft offengelegt. Die als CVE-2025-8699 erfasste Lücke erlaubte es, das Guthaben bestimmter NFC-Prepaidkarten ohne Bezahlung zu erhöhen. Die Behebung zog sich über mehr als ein Jahr hin, was Fragen zur Reaktionsfähigkeit in der Lieferkette von Self-Service-Zahlungssystemen aufwirft.
KioSoft-Ökosystem im Fokus: Umfang und Ursache der Schwachstelle
KioSoft gibt an, weltweit über 41.000 Kioske und 1,6 Millionen Zahlungsterminals in 35 Ländern zu betreiben. Betroffen war eine Teilmenge von Prepaidkarten, die mit bestimmten Terminals interagierten. Laut SEC Consult wurde das Problem 2023 identifiziert und beruhte darauf, dass Guthabensalden direkt auf der Karte statt in einem abgesicherten Backend gespeichert wurden.
Technischer Kern: Altlasten von MIFARE Classic
Die verwundbaren Karten basierten auf MIFARE Classic, einer Technologie mit seit 2007/2008 gut dokumentierten kryptografischen Schwächen. Forschungsarbeiten (u. a. von Garcia et al. und Nohl et al.) zeigten praktikable Angriffe auf die Authentifizierung und Schlüsselableitung. In Kombination mit einer Analyse des KioSoft-Datenlayouts ermöglichten diese Schwächen das Auslesen und Überschreiben der Sektoren, in denen der Saldo hinterlegt war.
Ausnutzung in der Praxis: Werkzeuge, Grenzen und Schadenspotenzial
Für die Ausnutzung genügte ein verbreitetes RFID-Analysewerkzeug wie Proxmark sowie grundlegendes Wissen über MIFARE-Classic-Attacken. SEC Consult demonstrierte, dass sich der Saldo in einer Transaktion auf bis zu 655 US-Dollar anheben ließ und der Vorgang wiederholbar war—ohne legitime Buchung im Backend. Angreifende benötigen physischen Zugriff auf die Karte, profitieren jedoch von der Offline-Speicherung, die Manipulationen nicht unmittelbar serverseitig korrigiert.
Offenlegung, CERT-Unterstützung und Patch-Status
Der Erstkontakt mit KioSoft erfolgte im Oktober 2023. Laut SEC Consult reagierte der Hersteller erst, nachdem ein CERT eingebunden wurde; in der Folge bat der Anbieter mehrfach um Verlängerung der Offenlegungsfristen. KioSoft teilte mit, dass eine aktualisierte Firmware im Sommer 2025 veröffentlicht wurde und neue, stärker gehärtete Hardwarelösungen geplant sind.
Der Hersteller nannte keine konkreten Versionsnummern verwundbarer bzw. korrigierter Komponenten und verwies stattdessen auf zielgerichtete Kundenkommunikation. Zudem betonte KioSoft, dass der Großteil der Lösungen nicht auf MIFARE Classic basiert. SEC Consult konnte die Qualität der Korrekturen nicht unabhängig verifizieren, da der Zugriff auf die ursprünglich untersuchten Terminals nicht mehr gegeben war.
Risikoanalyse und empfohlene Gegenmaßnahmen für Betreiber
Offline-Guthabensysteme sind im Prepaid-Umfeld verbreitet, erhöhen jedoch das Risiko direkter finanzieller Schäden durch Kartenkompromittierung. Branchenweit setzen sich daher modernere Technologien durch: MIFARE DESFire EV2/EV3 mit AES und Sicherheitslevel SL3, konsequente Schlüsseldiversifizierung pro Karte/Sektor sowie serverseitige Saldenführung und Transaktionsjournalisierung.
Betreiber und Integratoren sollten kurzfristig folgende Maßnahmen priorisieren:
– Migration von MIFARE Classic auf DESFire EV2/EV3 mit gegenseitiger Authentifizierung und SL3.
– Umstellung auf zentralisierte Billing-Systeme, wobei die Karte nur als Zugriffstoken dient.
– Account-Bindung von Karten, Limits für Aufladungen, Velocity-Checks und Anomalieerkennung (z. B. wiederholte Maximalbeträge).
– Schlüsseldiversifizierung, Anti-Tearing, manipulationssichere Zähler und kryptografische Signaturen für Datensätze.
– Patch- und Asset-Management für Terminals sowie regelmäßige Penetrationstests mit externen Spezialisten.
Der Fall KioSoft belegt, dass bekannte Schwachstellen in Altsystemen über Jahre praktisch ausnutzbar bleiben. Organisationen sollten Prozesse für koordiniertes Vulnerability-Disclosure etablieren, verbindliche Reaktionszeiten verankern und die schnelle Verteilung von Patches sicherstellen. Wer einen Terminalpark betreibt, sollte unverzüglich die eingesetzten Kartentypen und Firmwarestände auditieren, Migrationspfade zu DESFire EV2/EV3 und serverseitiger Saldenprüfung planen und Telemetrie zur Anomalieerkennung aktivieren.
