Abo
  • Services:

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

RSA 2016

Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.

Artikel veröffentlicht am ,
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Stellenmarkt
  1. abilex GmbH, Stuttgart
  2. Viega Holding GmbH & Co. KG, Attendorn

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin, die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren", sagte Blaich bei The Register.

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.

Zu den Kommentaren springen
Meistgelesen
  1. Notebook
    Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
  2. Himo
    Xiaomis E-Bike mit 12-Zoll-Rädern kostet rund 230 Euro
  3. Quellcode
    Diablo als teuflische Reverse-Engineering-Herausforderung
  4. Grundsatzurteil
    Supreme Court macht Onlinehandel landesweit steuerpflichtig
  5. Vodafone
    Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
Anzeige
Spiele-Angebote
  1. (u. a. Diablo 3 Ultimate Evil Edition, Gear Club Unlimited, HP-Notebooks)
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  4. 1,29€
Kommentarübersicht
Re: Was ist dieses Badge?
Der Held vom... 08. Mär 2016

Wobei "Rechner" und "Netz" kontextabhängig unterschiedliche Bedeutungen haben...

Re: "Twitter-Account samt Passwort [...] einzutragen"
Peter(TOO) 05. Mär 2016

Du musst hier etwas unterscheiden: 1. Es gibt da eine Organisation welche einen Kongress...

Folgen Sie uns
       
Dell Latitude 7390 - Test

Das Latitude 7390 sieht aus wie eine Mischung aus Lenovo Thinkpad und Dell XPS 13. Das merken wir am stabilen Gehäuse und an der sehr guten Tastatur. Aber auch in anderen Punkten kann uns das Gerät überzeugen - eine würdige Alternative für das XPS 13.

Dell Latitude 7390 - Test Video aufrufen
Siri
Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
Deutsche Siri auf dem Homepod im Test
Amazon und Google können sich entspannt zurücklehnen

In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
Ein Test von Ingo Pakalski

  1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
  2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
  3. Digitaler Assistent Apple will Siri verbessern
Cyberpunk 2077
CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner

    Elektroauto
    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /