Abo
  • Services:
Anzeige
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Anzeige

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin, die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren", sagte Blaich bei The Register.

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.


eye home zur Startseite
Der Held vom... 08. Mär 2016

Wobei "Rechner" und "Netz" kontextabhängig unterschiedliche Bedeutungen haben...

Peter(TOO) 05. Mär 2016

Du musst hier etwas unterscheiden: 1. Es gibt da eine Organisation welche einen Kongress...



Anzeige

Stellenmarkt
  1. AVL List GmbH, Graz (Österreich)
  2. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  3. Swiss Post Solutions GmbH, Hallstadt bei Bamberg, Pulsnitz bei Dresden
  4. Leadec Management Central Europe BV & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. jetzt bei Alternate

Folgen Sie uns
       


  1. VR

    Was HTC, Microsoft und Oculus mit Autos zu tun haben

  2. Razer-CEO Tan

    Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  3. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  4. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  5. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  6. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  7. Pocketbeagle

    Beaglebone passt in die Hosentasche

  8. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  9. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  10. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  2. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

  1. Re: Eltern leben in einer Welt aus Angst

    elcaron | 12:02

  2. Re: Es nervt!!!

    teenriot* | 12:02

  3. Re: Apple macht das so wegen der Apple Watch

    ManuPhennic | 12:01

  4. Re: Klassische Verschlimmbesserung

    ManuPhennic | 12:01

  5. Re: und was sagen die Piraten?

    xwolf | 11:58


  1. 12:08

  2. 11:30

  3. 10:13

  4. 09:56

  5. 09:06

  6. 08:11

  7. 07:21

  8. 18:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel