Flugverkehr: Sicherheitskontrollen per SQL-Injection umgangen
Zwei Sicherheitsforscher namens Ian Carroll und Sam Curry haben offenbar einen Weg gefunden, durch eine Schwachstelle in einer Online-Verwaltungsplattform Sicherheitskontrollen an US-amerikanischen Flughäfen potenziell zu umgehen. Möglich war dies einem Blogbeitrag von Carroll(öffnet im neuen Fenster) zufolge durch eine SQL-Injection, mit der sich Daten der Flugbesatzungen mehrerer Airlines einsehen und manipulieren ließen.
Laut Carroll hängt dies mit einem Programm der US-amerikanischen Transportsicherheitsbehörde (TSA) zusammen, das als Known Crewmember (KCM) bekannt ist und derzeit von 76 Fluggesellschaften(öffnet im neuen Fenster) genutzt wird. Darüber wird es Piloten und Flugbegleitern ermöglicht, an Flughäfen die gängigen Sicherheitskontrollen zu umgehen, die für Flugpassagiere obligatorisch sind.
Ein vergleichbares System gibt es auch für den Zugang zum Cockpit. Dieses wird als Cockpit Access Security System (CASS) bezeichnet. Laut Collins betreibt ein US-amerikanisches Unternehmen namens ARINC eine zentrale Plattform, über die Autorisierungsabfragen zum Betreten eines Cockpits oder das Passieren der Sicherheitskontrollen abgewickelt werden.
Admin-Zugriff per SQL-Injection
Bei ihrer Recherche entdeckten die beiden Sicherheitsforscher eine Webseite namens Flycass(öffnet im neuen Fenster) , die kleinen Fluggesellschaften eine webbasierte Schnittstelle zu CASS anbietet. Dort gelang es ihnen, sich per SQL-Injection als Administrator der US-amerikanischen Frachtfluggesellschaft Air Transport International (ATI) anzumelden.
Anschließend konnten die Forscher die Liste der Piloten und Flugbegleiter der Airline bearbeiten. Wie Carroll erklärt, konnte das Forscherduo beispielsweise einen neuen Mitarbeiter namens "Test Testonly" hinzufügen und diesen für KCM und CASS autorisieren.
"Jeder, der Grundkenntnisse über SQL-Injections hat, konnte sich auf dieser Website anmelden und jeden beliebigen Benutzer zu KCM und CASS hinzufügen, so dass er die Sicherheitskontrollen umgehen und sich Zugang zum Cockpit eines Verkehrsflugzeugs verschaffen konnte" , so der Forscher.
Behörde verweist auf zusätzliche Prüfprozesse
Laut Carroll ist das Problem inzwischen behoben, so dass die SQL-Injection bei Flycass nicht mehr möglich sein sollte. Die Kommunikation rund um die Sicherheitslücke verlief aber wohl alles andere als reibungslos.
So habe das Forscherteam etwa Schwierigkeiten gehabt, den richtigen Ansprechpartner zu finden. "Wir wollten uns zunächst nicht direkt mit Flycass in Verbindung setzen, da der Dienst anscheinend nur von einer Person betrieben wird und wir diese nicht beunruhigen wollten" , erklärt Carroll.
Letztendlich sei es den Forschern aber gelungen, das Problem über das US-Heimatschutzministerium zu melden, woraufhin es behoben worden sei. Jedoch habe die Pressestelle der TSA im Anschluss "gefährlich falsche Erklärungen über die Sicherheitslücke abgegeben" . So habe die Behörde etwa erklärt, es sei gar nicht möglich gewesen, die Schwachstelle für die Umgehung der Sicherheitskontrollen zu nutzen, da die TSA vor der Ausgabe eines Barcodes zum Passieren der KCM-Kontrollpunkte an ein neues Mitglied einen Prüfprozess einleite.
Laut Carroll ist ein solcher KCM-Barcode aber gar nicht zwingend erforderlich, da das zuständige Sicherheitspersonal die ID des jeweiligen Crewmitglieds auch manuell eingeben könne. Ein entsprechender Passus war bis vor kurzem(öffnet im neuen Fenster) auch in den FAQ des KCM-Portals von ARINC zu finden, ist aber inzwischen verschwunden(öffnet im neuen Fenster) .
Weiter erklärt Carroll, durch die Sicherheitslücke sei es zudem möglich gewesen, das Foto und den Namen einer bereits registrierten Person zu ändern und dadurch mögliche Prüfprozesse für neues Flugpersonal zu umgehen.