Abo
  • Services:
Anzeige
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Anzeige

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin, die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren", sagte Blaich bei The Register.

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.


eye home zur Startseite
Der Held vom... 08. Mär 2016

Wobei "Rechner" und "Netz" kontextabhängig unterschiedliche Bedeutungen haben...

Peter(TOO) 05. Mär 2016

Du musst hier etwas unterscheiden: 1. Es gibt da eine Organisation welche einen Kongress...



Anzeige

Stellenmarkt
  1. NPG Digital, Ulm
  2. viastore SYSTEMS GmbH, Stuttgart oder Löhne
  3. vwd TransactionSolutions AG, Frankfurt am Main
  4. nobilia-Werke J. Stickling GmbH & Co. KG, Verl


Anzeige
Top-Angebote
  1. (u. a. Fallout 4 USK 18 für 19,99€ inkl. Versand, The Expendables Trilogy Limited Collector's...
  2. 99,99€ - Rabatt wird im Warenkorb abgezogen (Vergleichspreis ab ca. 125€)
  3. 75,99€ - Rabatt wird im Warenkorb abgezogen (Vergleichspreis ab ca. 90€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Hackerangriff

    Übernahme von Yahoo könnte durch Hack gefährdet sein

  2. Canon vs. Nikon

    Superzoomer für unter 250 Euro

  3. Konkurrenz für Amazon Echo

    Apple baut angeblich Siri-Lautsprecher

  4. Sam Lab Curio

    Modulare ferngesteuerte Rennwagen bauen

  5. Snap Spectacles

    Snapchat stellt Sonnenbrille mit Kamera vor

  6. SMS-Alternative

    Neue Whatsapp-Bedingungen werden Pflicht

  7. Up- und Download

    Breites Bündnis ruft nach flächendeckender Gbit-Versorgung

  8. Kurznachrichtendienst

    Twitter bewertet sich mit 30 Milliarden US-Dollar

  9. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  10. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Berlin-Wahl: Wo sind all die Piraten-Wähler hin?
Berlin-Wahl
Wo sind all die Piraten-Wähler hin?
  1. Störerhaftung Auf Wiedersehen vor dem EuGH
  2. EuGH zu Störerhaftung Bei Verstößen droht Hotspot-Anbietern Nutzerregistrierung
  3. Europäisches Parlament Netzsperren - Waffe gegen Terror oder Zensur?

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  2. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

  1. Re: Dünnschiss

    TobiVH | 08:56

  2. Re: Wow...

    M.P. | 08:55

  3. Re: Ich nutze kein Facebook

    UFCFAUST33 | 08:54

  4. Re: Strandkamera ?

    Shuro | 08:53

  5. Re: Zwang zur Weiternutzung

    rafterman | 08:52


  1. 09:03

  2. 08:51

  3. 08:33

  4. 07:55

  5. 07:39

  6. 07:23

  7. 15:10

  8. 13:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel