HOTELZIMMERSCHLÜSSEL KÖNNEN GEHACKT WERDEN

F-Secure hat eine Schwachstelle bei Schließsystem-Software aufgedeckt, die es erlaubt, weltweit Hotelzimmertüren zu öffnen, ohne eine Spur zu hinterlassen.

"Sie können sich sicherlich vorstellen, was eine Person mit bösartiger Absicht alles anstellen könnte, wenn er mit einem Generalschlüssel, der im Grunde kinderleicht generiert wurde, jedes Hotelzimmer betreten kann."

Tomi Tuominen

Practice Leader bei F-Secure Cyber Security Services

Tomi Tuominen

Schwachstelle: Ghost in the Locks

F-Secure Forscher haben herausgefunden, dass internationale Hotelketten und Hotels weltweit ein elektronisches Schließsystem verwenden, das von einem Angreifer ausgenutzt werden kann, um Zugang zu jedem Raum im Gebäude zu erhalten.

Die Forscher simulierten den Angriff mit einem gewöhnlichen elektronischen Schlüssel einer Einrichtung. Anhand von Informationen auf dem Schlüssel konnten sie einen Generalschlüssel mit Berechtigungen erstellen, um jeden Raum mit einem verbauten Smart Lock zu öffnen. Der Schlüssel muss dabei nicht einmal für einen bestimmten Bereich gedacht sein – auch wenn er schon längst abgelaufen ist, entsorgt wurde oder lediglich für den Zugang zu Räumen wie Garagen oder eine Abstellkammer bestimmt ist, funktioniert der gehackte Schlüssel. Der Angriff kann hierbei unbemerkt durchgeführt werden.

Die entdeckte Schwachstelle der Schließsystem-Software (Vision by VingCard), welche eigentlich zur Sicherung von weltweit Millionen Hotelzimmern eingesetzt wird, hat den weltweit größten Schlosshersteller Assa Abloy dazu veranlasst, Software-Updates mit Sicherheits-Bugfixes zu veröffentlichen, um das Problem zu beheben.

Ghost in the Locks-Präsentation

Die F-Secure-Forscher Tomi Tuominen und Timo Hirvonen gehen auf der INFILTRATE 2018 Security Conference im Detail auf das Experiment zum Hacken von elektronischen Hotelzimmerschlössern ein.

Sicherheit sollte keine untergeordnete Rolle spielen

Das Verständnis der Interaktion zwischen Hard- und Software ist für die Entwicklung sicherer Produkte unerlässlich. Dieser Aspekt muss von Beginn an berücksichtigt werden, da Schwachstellen in der Hardware nicht so leicht zu beheben sind wie bei Software. Durch die frühzeitige Einbindung unserer erstklassigen Hardware-Sicherheitsexperten sparen Sie Zeit und Geld.

Unsere Hardware-Sicherheitsdienstleistungen umfassen:

  • Überprüfung des Hard- und Firmware-Designs
  • FPGA, Firmware, Applikations Source Code Review
  • Penetration Testing
  • Forschung & Entwicklung
„Unsere Erfolgsrate bei der Umgehung der getesteten Sicherheitssysteme von fast 100% wird nur durch unsere Kompetenz übertroffen, die Sicherheit dieser vor dem Einsatz zu gewährleisten. Wir hatten das Privileg, unzähligen Kunden bereits in der frühen Entwicklungsphase mit einem kosteneffizienten Ansatz zu helfen, der für die Sicherheit ihrer Produkte in der Luft, zu Lande, zu Wasser und im Weltraum entscheidend ist."

Andrea Barisani

Head of Hardware Security bei F-Secure

Andrea Barisani

Kontaktieren Sie uns

Setzen Sie sich mit einem unserer Hardware-Sicherheitsexperten in Verbindung, um die Sicherheit Ihrer Produkte analysieren zu lassen.

Podcasts

Die F-Secure-Forscher Tomi Tuominen und Timo Hirvonen wurden in unserem Cyber Security Sauna-Podcast zum Thema Ghost in the Locks interviewt.

Podcast anhören

Hinter den Kulissen

Das Interesse der Forscher am Hacken von Hotelschlössern wurde vor rund 15 Jahren geweckt, als der Laptop eines Kollegen aus einem Hotelzimmer gestohlen wurde. Als die Forscher den Diebstahl meldeten, wies das Hotelpersonal ihre Beschwerde zurück, da es keine Anzeichen von gewaltsamem Eindringen und keine Beweise für unbefugten Zugriff in den Zimmereintrittsprotokollen gab. Die Forscher beschlossen, dem Problem auf den Grund zu gehen.

Weiterlesen