Abus-Alarmanlage: RFID-Schlüssel lassen sich klonen

Die Alarmanlage Secvest von Abus kann komfortabel durch einen RFID-Schlüssel aktiviert und deaktiviert werden. Doch die Schlüssel lassen sich binnen Sekunden kopieren. Eine Lösung des Sicherheitsproblems ist nicht in Sicht.

Artikel veröffentlicht am ,
Die Abus-Alarmanlage Secvest lässt sich leicht umgehen.
Die Abus-Alarmanlage Secvest lässt sich leicht umgehen. (Bild: Abus)

Die RFID-Schlüssel der Funkalarmanlage Secvest (FUAA50000) von Abus lassen sich klonen. Mit den echten oder kopierten Proximity-Schlüsseln lässt sich die Alarmanlage aktivieren oder deaktivieren. Der Schlüssel muss hierzu einfach vor das Control-Panel gehalten werden.

Stellenmarkt
  1. Projektmanagerin / Projektmanager Ticketing Systeme
    Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach
  2. IT-Projektleiter (m/w/d)
    STEMMER IMAGING AG, Puchheim
Detailsuche

Entdeckt wurde die Sicherheitslücke von den Sicherheitsforschern Matthias Deeg und Gerhard Klostermeier der Penetration-Testing-Firma Syss. Diese hatte bereits vor einem Monat drei Sicherheitslücken in der Funkalarmanlage von Abus veröffentlicht. Mit den bereits bekannten Sicherheitlücken liess sich die Anlage aus der Ferne deaktivieren, steuern oder unbenutzbar machen.

Abus verwendet für die Proximity-Schlüssel den Mifare-Classic-Chip. Dieser kann mit einfachen Mitteln kopiert werden. "Ein Angreifer mit einmaligem, kurzzeitigem Zugriff auf einen ABUS Proximity Key ist damit in der Lage, eine Kopie beziehungsweise einen Klon dieses RFID-Tokens zu erstellen, mit dem sich die entsprechende ABUS-Secvest-Funkalarmanlage auf unautorisierte Weise deaktivieren lässt," schreibt Syss in einem Blogeintrag.

Keine Schutzmaßnahmen

In einem Proof-of-Concept-Video zeigt Syss gleich drei Varianten des Angriffs. Mit der Android-App Mifare Classic Tool lässt sich der Schlüssel kopieren und auf eine RFID-Karte schreiben. Der Vorgang dauert im Video nur einige Sekunden. Alternativ lässt sich der Proximity-Schlüssel auch mit dem ChameleonMini klonen, einem Hacking-Werkzeug, mit dem sich RFID-Schlüssel emulieren lassen. Auch ein RFID-Schlüsselanhänger lässt sich mithilfe eines günstigen RFID/NFC-Lesegeräts aus China als Proximity-Schlüssel verwenden.

Golem Akademie
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    16.-20.05.2022, Virtuell
Weitere IT-Trainings

Bereits im März habe Syss Abus über das Sicherheitsproblem informiert, schreibt die Sicherheitsfirma. Eine Lösung des Problems bestehe derzeit nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 07. Mai 2019

Der Errichter wird dir keine Mifare Classic sondern DESfire Schlüssel geben, fertig.

Iruwen 07. Mai 2019

Wer sich so eine Alarmanlage kauft kennt sich hoffentlich damit aus, sonst ist das...

Eheran 07. Mai 2019

Jedes hochwertige Schließsystem kann man nicht mal eben kopieren. Kostet aber halt auch...

Olliar 07. Mai 2019

Das ist wohl so ähnlich wie bei Fluke oder Weller? Das war früher mal "der" Name...



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Forschung: Blaualge versorgt Mikrocontroller sechs Monate mit Strom
    Forschung
    Blaualge versorgt Mikrocontroller sechs Monate mit Strom

    Ein Forschungsteam hat einen Arm Cortex-M0+ sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit Strom.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Betriebssysteme: Apple veröffentlicht iOS 15.5 und MacOS 12.4
    Betriebssysteme
    Apple veröffentlicht iOS 15.5 und MacOS 12.4

    Apple hat seine Betriebssysteme iOS 15.5 für die iPads, MacOS 12.4 für die Macs und iPadOS 15.5 für die iPads veröffentlicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /