• IT-Karriere:
  • Services:

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.

Artikel veröffentlicht am ,
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Stellenmarkt
  1. Präsidium der Bay. Bereitschaftspolizei, München
  2. Akar GmbH, Langenbach

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin, die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren", sagte Blaich bei The Register.

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-91%) 2,20€
  2. 58,48€ (PC), 68,23€ (PS4) 69,99€ (Xbox One)
  3. 36,99€

Der Held vom... 08. Mär 2016

Wobei "Rechner" und "Netz" kontextabhängig unterschiedliche Bedeutungen haben...

Peter(TOO) 05. Mär 2016

Du musst hier etwas unterscheiden: 1. Es gibt da eine Organisation welche einen Kongress...


Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
    •  /