Abo
  • Services:

Sicherheitslücken bei Securitymesse: Ein Handtuch als Konferenz-Badge

Douglas Adams hätte sich gefreut: Bei der RSA 2016 kann man sich mit einem Handtuch Zutritt verschaffen. Es ist nicht die einzige Sicherheitslücke bei der diesjährigen Konferenz.

Artikel veröffentlicht am ,
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich.
Mit dem Handtuch zur Konferenz? Theoretisch ist das bei der RSA möglich. (Bild: Jerry Gablin)

Bei der Sicherheitskonferenz RSA haben Hacker einige Schwachstellen in der Infrastruktur gefunden. Eine davon betrifft die App, die genutzt wird, um die Badges der Teilnehmer vor den Konferenzräumen und auf der Ausstellungsfläche abzuscannen. Eine andere betrifft die Badges mit RFID-Chip selbst. Im Vorfeld der Konferenz wurden Teilnehmer außerdem gebeten, ihren Twitter-Account samt Passwort auf der Webseite einzutragen.

Stellenmarkt
  1. EWE Aktiengesellschaft, Cappeln
  2. WEGMANN automotive GmbH & Co. KG, Veitshöchheim

Weil der RFID-Chip des Konferenz-Badges den unsicheren Mifare Ultralight C-Chip verwendet, gelang es dem Hacker Jerry Gablin, die Daten vom Badge-Chip auf den RFID-Chip eines Handtuchs aus seinem Hotel zu übertragen. Viele Hotels verwenden mittlerweile solche Chips in den Handtüchern, um die Kontrolle des Inventars zu erleichtern. Prinzipiell könnte er also leicht Kopien des Tags herstellen und für den Einlass zur Konferenz nutzen. Details zu dem Hack will er erst veröffentlichen, wenn die Konferenz vorbei ist. Das dürfte den Veranstalter freuen, denn die Tickets kosten teilweise mehrere tausend Euro.

App für Aussteller hat ein festes Passwort

Aber auch die App, die bei der Konferenz verwendet wird, hat offenbar ein Sicherheitsproblem. Aussteller verwenden ein spezielles Galaxy S4 und eine App, um Kontaktdaten der Besucher von den Badges abzufragen und sie so zum Beispiel zu einem Newsletter hinzuzufügen. Doch die App hat ein hardgecodetes Passwort, wie der Hacker Andrew Blaich von der Sicherheitsfirma Bluebox Security herausgefunden hat. "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren", sagte Blaich bei The Register.

Bereits vor einigen Wochen hatte ein Feature auf der Anmeldeseite der Konferenz für Erheiterung bei den geladenen Sicherheitsexperten gesorgt: Nutzer wurden gebeten, sich mit ihrem Twitter-Account einzuloggen und dabei auch das Passwort einzugeben. Die Konferenz verwendete dabei nicht wie üblich die API von Twitter, sondern wollte den vollen Zugang haben. Jetzt gibt es eine Liste der Sicherheitsinteressierten, die freiwillig ihr Passwort zur Verfügung gestellt haben.



Anzeige
Top-Angebote
  1. 54,99€
  2. (-80%) 3,99€
  3. 3,84€
  4. 55,00€ (Bestpreis!)

Der Held vom... 08. Mär 2016

Wobei "Rechner" und "Netz" kontextabhängig unterschiedliche Bedeutungen haben...

Peter(TOO) 05. Mär 2016

Du musst hier etwas unterscheiden: 1. Es gibt da eine Organisation welche einen Kongress...


Folgen Sie uns
       


Alstom E-Bus Prototyp in Berlin - Bericht

Der Alstom Aptis kann mit beiden Achsen lenken und ist deshalb besonders wendig. Wir sind in Berlin eine Runde mit dem Elektrobus gefahren.

Alstom E-Bus Prototyp in Berlin - Bericht Video aufrufen
God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


      •  /