Abo
  • Services:

Arduino: Krimineller hackte Hunderte Hoteltüren

Eine Einbruchsserie in Hotels in den USA im Jahr 2012 war offenbar umfangreicher als bislang angenommen. Der inzwischen in Haft sitzende Mann hat offenbar Zimmer in über 100 Hotels mit einem selbst gebauten Gerät auf Arduino-Basis geöffnet.

Artikel veröffentlicht am ,
Standardschloss von Onity
Standardschloss von Onity (Bild: Cody Brocious)

Ein Krimineller hat in den USA offenbar über Jahre hinweg eine Sicherheitslücke in einem weit verbreiteten Hotelschloss ausgenutzt und dabei in mehr als hundert Hotels Fernseher, iPads und andere Wertgegenstände entwendet. Er nutzte dazu eine Technik aus, die auf der Sicherheitskonferenz Black Hat 2012 vorgestellt wurde. Wired hat nun mit dem in Haft sitzenden Aaron Cashatt gesprochen. Seinen Angaben zufolge hat er in deutlich mehr als 100 Hotels eingebrochen und neben Hotelequipment nach kurzer Zeit auch privates Eigentum der Gäste gestohlen.

Stellenmarkt
  1. TeamViewer GmbH, Göppingen
  2. Bertrandt Ingenieurbüro GmbH, Köln

Bereits im Jahr 2012 war berichtet worden, dass Einbrüche in Hotels im Bundesstaat Texas auf den Hack von Onity-Schlössern zurückzuführen waren. Doch das Ausmaß der Taten ist offenbar deutlich größer als zunächst angenommen. Für den Angriff reicht ein Arduino und etwas zusätzliche Technik aus, um ein Gerät zu entwerfen, das die Verriegelung der Türen aufhebt. Jedes der anfälligen Schlösser hatte einen zum Entriegeln notwendigen Code im Speicher abgelegt, der mit Hilfe des Arduino ausgelesen und zum Öffnen der Tür genutzt werden konnte.

Security by Obscurity half nur kurz

Zwischenzeitlich hatte Onity versucht, die zum Auslesen notwendigen Diagnoseports des Schlosses mit einem Plastikteil so zu verstecken, dass der Angriff nicht mehr funktionierte. Nach Angaben von Wired hielt dies den Einbrecher aber nur einige Wochen auf, weil das Plastikteil mit etwas Übung leicht entfernt werden konnte. Erst nach öffentlichen Diskussionen versprach der Hersteller, die verwundbaren Schlösser auf eigene Kosten auszutauschen.

Bei den Ermittlungen gegen Cashatt nutzte die Polizei nach eigenen Angaben auch das Facebook-Profil des damals Verdächtigen. Über seinen Account sendete er zahlreiche Fotos von gestohlenen iPads und anderer Beute, außerdem beschrieb er die Einbrüche in die Hotelzimmer als "Sucht".

Wired schreibt, dass die entsprechenden Schlösser bei großen Hotelketten mittlerweile ausgetauscht seien. In kleineren Hotels könne es aber nach wie vor Ausnahmen geben. In einem Feldversuch soll es möglich gewesen sein, die Tür eines Zimmers einer günstigen, ungenannten Hotelkette zu öffnen.



Anzeige
Top-Angebote
  1. (aktuell u. a. Samsung 860 Evo 500-GB-SSD 119€, externer DVD-Brenner 25€, 2-TB-HDD extern 66€)
  2. 99,99€
  3. 1.649€ mit Core i5-8600K und jetzt neu für 1.749€ mit i7-8700K

Noppen 01. Sep 2017

Das ist kein Arduino, sondern nur dessen CPU mit Taktgeber.

SzSch 01. Sep 2017

Laut Quelle (Interview) hat er diverse Fehler gemacht durch die die Polizei ihn fand, die...

M.P. 31. Aug 2017

Bei einem Buntbartschloss akzeptiert dann aber die herbeigerufene Polizei, dass man den...


Folgen Sie uns
       


Golem.de lässt Alexa schlecht lachen und rappen

Alexa kann komisch lachen und schlecht rappen - wie man im Video hört.

Golem.de lässt Alexa schlecht lachen und rappen Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /