Ving Card: Sicherheitslücke in Millionen Hoteltüren gefunden

Sicherheitsforschern ist es gelungen, einen Generalschlüssel zu erstellen, mit dem alle Türen eines Hotels geöffnet werden können. Weltweit sollen über eine Million Türen betroffen sein, ein Patch steht bereit.

Artikel veröffentlicht am ,
Ein Stapel von Hotelkarten
Ein Stapel von Hotelkarten (Bild: F-Secure)

Türschlösser von weltweit rund einer Million Hoteltüren sind für Angriffe anfällig. Wie die finnische IT-Sicherheitsfirma F-Secure schreibt, können elektronische Schlüsselkarten zum Zutritt in Räume genutzt werden, auch wenn sie nicht dafür programmiert wurden. Die auf der Karte hinterlegten Informationen lassen sich nach Angaben des Unternehmens nutzen, um einen Generalschlüssel für das jeweilige Hotel zu berechnen. Hinweise darauf, dass die Lücke von Kriminellen genutzt wird, gebe es nicht.

Stellenmarkt
  1. Lead Architect ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. IT-Systemadministrator
    ASCon Systems GmbH, Stuttgart, Mainz, München
Detailsuche

Der Hersteller der Schlösser, Assa Abloy, ist seit April 2017 über das Problem informiert und hat ein Update entwickelt. Dieses muss jedoch bei jeder einzelnen Tür eingespielt werden. Da das Team von F-Secure nach eigenen Angaben seit mehr als 10 Jahren an dem Angriff gearbeitet hat, geht das Unternehmen davon aus, dass sich dieser von Kriminellen nicht einfach nachstellen lässt. Technische Details zu der Attacke hält F-Secure zudem zurück, auf der Sicherheitskonferenz Infiltrate in Miami soll es allerdings einen Vortrag dazu geben. Der Angriff soll sowohl mit Karten auf Magnetstreifenbasis als auch mit RFID-Chips funktionieren.

Das Team hatte die Schlösser aufwendig per Reverse Engineering untersucht und dabei verschiedene kleinere Fehler gefunden, die sich am Ende zu einem Exploit zusammenfassen ließen. "Als wir verstanden hatten, wie das System konzipiert wurde, tauchten zunächst scheinbar harmlose Mängel auf. Wir haben diese dann kreativ kombiniert, um eine Methode zur Erstellung von Generalschlüsseln zu entwickeln," sagte Timo Hirvonen von F-Secure.

In Deutschland etwa 30.000 Türen betroffen

"Sie können sich sicherlich vorstellen, was ein Mensch mit bösartigen Absichten alles anstellen könnte, wenn er mit einem Generalschlüssel, der im Grunde kinderleicht generiert wurde, jedes Hotelzimmer betreten kann", sagt Tomi Tuominen von F-Secure. In Deutschland sollen von der Lücke rund 30.000 Hoteltüren betroffen sein.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

"Ich möchte dem R&D-Team von Assa Abloy persönlich für die hervorragende Zusammenarbeit bei der Behebung dieser Probleme danken", sagte Tuominen. "Aufgrund ihrer Arbeit und der Bereitschaft, die durch unsere Forscher identifizierten Probleme zu beheben, ist die Hotelwelt heute ein sicherer Ort. Wir bitten jede Einrichtung, die diese Software nutzt, das Update so schnell wie möglich einzuspielen."

2012 hatte eine Einbruchsserie in den USA die Verwundbarkeit elektronischer Schließsysteme aufgezeigt: Ein Mann hatte mit einem selbstgebauten Werkzeug Hunderte Hoteltüren geknackt und dabei zahlreiche private Gegenstände oder Fernseher aus den Zimmern gestohlen. Dazu nutzte er unter anderem die Arduino-Plattform.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Tink Tabs Handy T1 im Hands on
Das bessere Hotelsmartphone ist sicherer und schneller
artikel-bild
Elektromobilität
So leicht lassen sich Ladestationen und Ladekarten hacken
artikel-bild
Sicherheitslücken bei Securitymesse
Ein Handtuch als Konferenz-Badge
artikel-bild
Cybersecurity Tech Accord
IT-Branche verbündet sich gegen Nationalstaaten
artikel-bild
Incident Response
Social Engineering funktioniert als Angriffsvektor weiterhin
Meistgelesen
artikel-bild
Microsoft
11 gute Gründe gegen den Umstieg auf Windows 11
artikel-bild
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig
artikel-bild
Bundesservice Telekommunikation
Die dubiose Adresse in Berlin-Treptow
artikel-bild
Sportuhr im Hands-on
Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom
artikel-bild
Spielebranche
Microsoft will Activision Blizzard übernehmen
Kommentarübersicht
Re: Mehr als 10 Jahre an dem Angriff...
raxi 27. Apr 2018

Danke, denn genau so dachte ich mir das auch. Inhaltlich falsch würde ich nicht...

Re: War das nicht schon lange klar?
chefin 26. Apr 2018

Vorallem muss man sich klar machen, welche Sicherheit mechanische Schlüssel haben. Wenn...

Re: Die AV Hersteller wieder
justanotherhusky 25. Apr 2018

Versuch diese Taktik mal am selben Tag mit 5 verschiedenen Zimmern.. Denke das wird dann...

Steht Beriet
hermann.arya 25. Apr 2018

Im Teaser hat sich ein Schreibfehler eingeschlichen.. Steht beriet statt bereit.

Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Elektroautos: Volkswagen und Bosch kooperieren bei Akkuzell-Fertigung
    Elektroautos
    Volkswagen und Bosch kooperieren bei Akkuzell-Fertigung

    Den wachsenden Bedarf an Stromspeichern will Volkswagen durch eine Produktionspartnerschaft für Akkuzellen mit Bosch decken.

  2. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  3. Fahrlässige Tötung: Tesla-Fahrer wegen Unfall durch Autopilot angeklagt
    Fahrlässige Tötung
    Tesla-Fahrer wegen Unfall durch Autopilot angeklagt

    Ein Tesla-Fahrer muss sich wegen fahrlässiger Tötung vor Gericht verantworten, weil zwei Menschen ums Leben kamen, als der Tesla auf Autopilot fuhr.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 WOHL HEUTE BESTELLBAR • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /