Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

RSA 2016
Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.
/ Hauke Gierow
47 Kommentare News folgen (öffnet im neuen Fenster)
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. Bild: Jerry Gablin

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin(öffnet im neuen Fenster) , die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Fullstack PHP Web Entwickler (m/w/d) Zeitmechanik GmbH, Meerbusch (öffnet im neuen Fenster)
(Senior) Backend Developer (m/w/d) ACE Auto Club Europa e.V., Stuttgart (öffnet im neuen Fenster)
Stellv. Teamleitung IT-Systemadministration für die Schulen des Landkreises Lindau (Bodensee) Landratsamt Lindau, Lindau (Bodensee) (öffnet im neuen Fenster)
IT Projektleitung (m/w/d) Bucher Hydraulics Erding GmbH, Unterföhring (öffnet im neuen Fenster)
Flutter Entwickler (m/w/d) IPPEN.MEDIA, München (öffnet im neuen Fenster)
Cloud Engineer (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)
(Senior-) Professional Cyber Security Risk Management (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Fachinformatiker*in (m/w/d) in der Fachrichtung Systemintegration Ostangler Brandgilde VVaG, Bad Fallingbostel (öffnet im neuen Fenster)

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren" , sagte Blaich bei The Register(öffnet im neuen Fenster) .

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.

Zur Startseite 47 Kommentare

Relevante Themen

VerschlüsselungSoftwareSecuritySicherheitslückeCybercrimeDatensicherheitApp