Sicherheit: Hotelschlösser sollen gegen Geld wieder sicher werden
Hersteller Onity hat auf einen Hack seiner Hoteltüren mit elektronischen Schlüsselkarten reagiert(öffnet im neuen Fenster) und bietet Hotelbesitzern zwei Lösungsmöglichkeiten an. Softwareentwickler Cody Brocious hatte den Hack gezeigt . Dabei wurde die Anlage über eine Buchse angegriffen, die sich zur Stromversorgung und Programmierung an der Unterseite des Schlosses befindet. Mit dem Hack, der mit einem Arduino vollzogen wurde, konnte die Schlüsselkarte umgangen und der Öffnungscode ausgelesen werden. Arduino ist eine Open-Source-Hardware-Platine. Brocious hat den Hack auf seiner Website genau ( PDF(öffnet im neuen Fenster) ) dokumentiert.
Eine der Lösungsmöglichkeiten des Herstellers Onity hat umfasst einen kostenlosen Deckel für die Buchse, der nicht entfernt werden kann, ohne das Schloss halb auseinanderzunehmen, so Onity. Das soll künftigen Hackern den mechanischen Zugriff auf den Port erschweren.
Hotelbesitzer bleiben auf den Kosten sitzen
Eine wirkliche Lösung, die die Sicherheitslücke schließt, ist bei den Schlössern nur durch ein Upgrade der Firmware möglich, so Forbes(öffnet im neuen Fenster) . Die Kosten für den dazu erforderlichen Ein- und Ausbau der Elektronik sowie den Versand muss der Hotelbesitzer alleine tragen. Bei Schlössern ohne Upgrademöglichkeit will Onity verbilligte Lösungen für Neukäufe anbieten.
Beide Lösungen sollen Ende August 2012 verfügbar sein.
Mozilla-Softwareentwickler Cody Brocious hat auf der Conference Black Hat in Las Vegas einen Hack für Hoteltüren mit elektronischen Schlüsselkarten vorgeführt. Mit einer Arduino-Plattform sei ihm das Öffnen von einigen Hoteltüren in Sekunden gelungen, erklärte Brocious. "Ich mach den Stecker rein, schalte ein, und das Schloss öffnet sich" , sagte er dem US-Wirtschaftsmagazin Forbes(öffnet im neuen Fenster) . In einem Test mit einem Reporter war der Angriff jedoch auf Anhieb nicht immer erfolgreich(öffnet im neuen Fenster) . Mittlerweile soll die Zugriffsmethode jedoch verfeinert worden sein.
Brocious kritisierte in einem Blogpost(öffnet im neuen Fenster) den Hersteller für seine kostenpflichtige Updatepolitik. Außerdem sei es unredlich, von einem Firmwareupdate zu sprechen, wenn letztlich die Hardware ausgetauscht werden müsse. Zudem müsse unbedingt von externen Spezialisten untersucht werden, ob die Sicherheitsmaßnahmen auch greifen, so Brocious.
Brocious war als Chief Technology Officer beim Startup Unified Platform Management tätig, das per Reverse Engineering versuchte, die Schlösser von Onity nachzubauen, um sie selbst preisgünstiger herzustellen. Das Startup verkaufte seine Untersuchungsergebnisse im Jahr 2011 für 20.000 US-Dollar an das Locksmith Institute (LSI), wohin auch Strafverfolgungsbehörden, Polizei und Geheimdienste ihre Mitarbeiter zur Ausbildung schicken.