Arduino: Krimineller hackte Hunderte Hoteltüren

Eine Einbruchsserie in Hotels in den USA im Jahr 2012 war offenbar umfangreicher als bislang angenommen. Der inzwischen in Haft sitzende Mann hat offenbar Zimmer in über 100 Hotels mit einem selbst gebauten Gerät auf Arduino-Basis geöffnet.

Artikel veröffentlicht am ,
Standardschloss von Onity
Standardschloss von Onity (Bild: Cody Brocious)

Ein Krimineller hat in den USA offenbar über Jahre hinweg eine Sicherheitslücke in einem weit verbreiteten Hotelschloss ausgenutzt und dabei in mehr als hundert Hotels Fernseher, iPads und andere Wertgegenstände entwendet. Er nutzte dazu eine Technik aus, die auf der Sicherheitskonferenz Black Hat 2012 vorgestellt wurde. Wired hat nun mit dem in Haft sitzenden Aaron Cashatt gesprochen. Seinen Angaben zufolge hat er in deutlich mehr als 100 Hotels eingebrochen und neben Hotelequipment nach kurzer Zeit auch privates Eigentum der Gäste gestohlen.

Stellenmarkt
  1. Abteilungsleitung IT (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
  2. Junior Data Scientist (m/w/d)
    MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
Detailsuche

Bereits im Jahr 2012 war berichtet worden, dass Einbrüche in Hotels im Bundesstaat Texas auf den Hack von Onity-Schlössern zurückzuführen waren. Doch das Ausmaß der Taten ist offenbar deutlich größer als zunächst angenommen. Für den Angriff reicht ein Arduino und etwas zusätzliche Technik aus, um ein Gerät zu entwerfen, das die Verriegelung der Türen aufhebt. Jedes der anfälligen Schlösser hatte einen zum Entriegeln notwendigen Code im Speicher abgelegt, der mit Hilfe des Arduino ausgelesen und zum Öffnen der Tür genutzt werden konnte.

Security by Obscurity half nur kurz

Zwischenzeitlich hatte Onity versucht, die zum Auslesen notwendigen Diagnoseports des Schlosses mit einem Plastikteil so zu verstecken, dass der Angriff nicht mehr funktionierte. Nach Angaben von Wired hielt dies den Einbrecher aber nur einige Wochen auf, weil das Plastikteil mit etwas Übung leicht entfernt werden konnte. Erst nach öffentlichen Diskussionen versprach der Hersteller, die verwundbaren Schlösser auf eigene Kosten auszutauschen.

Bei den Ermittlungen gegen Cashatt nutzte die Polizei nach eigenen Angaben auch das Facebook-Profil des damals Verdächtigen. Über seinen Account sendete er zahlreiche Fotos von gestohlenen iPads und anderer Beute, außerdem beschrieb er die Einbrüche in die Hotelzimmer als "Sucht".

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Wired schreibt, dass die entsprechenden Schlösser bei großen Hotelketten mittlerweile ausgetauscht seien. In kleineren Hotels könne es aber nach wie vor Ausnahmen geben. In einem Feldversuch soll es möglich gewesen sein, die Tür eines Zimmers einer günstigen, ungenannten Hotelkette zu öffnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  2. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertigt die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

Noppen 01. Sep 2017

Das ist kein Arduino, sondern nur dessen CPU mit Taktgeber.

SzSch 01. Sep 2017

Laut Quelle (Interview) hat er diverse Fehler gemacht durch die die Polizei ihn fand, die...

M.P. 31. Aug 2017

Bei einem Buntbartschloss akzeptiert dann aber die herbeigerufene Polizei, dass man den...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /