Ving Card: Sicherheitslücke in Millionen Hoteltüren gefunden

Sicherheitsforschern ist es gelungen, einen Generalschlüssel zu erstellen, mit dem alle Türen eines Hotels geöffnet werden können. Weltweit sollen über eine Million Türen betroffen sein, ein Patch steht bereit.

Artikel veröffentlicht am ,
Ein Stapel von Hotelkarten
Ein Stapel von Hotelkarten (Bild: F-Secure)

Türschlösser von weltweit rund einer Million Hoteltüren sind für Angriffe anfällig. Wie die finnische IT-Sicherheitsfirma F-Secure schreibt, können elektronische Schlüsselkarten zum Zutritt in Räume genutzt werden, auch wenn sie nicht dafür programmiert wurden. Die auf der Karte hinterlegten Informationen lassen sich nach Angaben des Unternehmens nutzen, um einen Generalschlüssel für das jeweilige Hotel zu berechnen. Hinweise darauf, dass die Lücke von Kriminellen genutzt wird, gebe es nicht.

Stellenmarkt
  1. Leitung Anwendungsentwicklung (w/m/d)
    Kommunale Versorgungskassen Westfalen-Lippe, Münster
  2. Senior Data Scientist (m/f/d)
    Heraeus Business Solutions GmbH, Hanau
Detailsuche

Der Hersteller der Schlösser, Assa Abloy, ist seit April 2017 über das Problem informiert und hat ein Update entwickelt. Dieses muss jedoch bei jeder einzelnen Tür eingespielt werden. Da das Team von F-Secure nach eigenen Angaben seit mehr als 10 Jahren an dem Angriff gearbeitet hat, geht das Unternehmen davon aus, dass sich dieser von Kriminellen nicht einfach nachstellen lässt. Technische Details zu der Attacke hält F-Secure zudem zurück, auf der Sicherheitskonferenz Infiltrate in Miami soll es allerdings einen Vortrag dazu geben. Der Angriff soll sowohl mit Karten auf Magnetstreifenbasis als auch mit RFID-Chips funktionieren.

Das Team hatte die Schlösser aufwendig per Reverse Engineering untersucht und dabei verschiedene kleinere Fehler gefunden, die sich am Ende zu einem Exploit zusammenfassen ließen. "Als wir verstanden hatten, wie das System konzipiert wurde, tauchten zunächst scheinbar harmlose Mängel auf. Wir haben diese dann kreativ kombiniert, um eine Methode zur Erstellung von Generalschlüsseln zu entwickeln," sagte Timo Hirvonen von F-Secure.

In Deutschland etwa 30.000 Türen betroffen

"Sie können sich sicherlich vorstellen, was ein Mensch mit bösartigen Absichten alles anstellen könnte, wenn er mit einem Generalschlüssel, der im Grunde kinderleicht generiert wurde, jedes Hotelzimmer betreten kann", sagt Tomi Tuominen von F-Secure. In Deutschland sollen von der Lücke rund 30.000 Hoteltüren betroffen sein.

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

"Ich möchte dem R&D-Team von Assa Abloy persönlich für die hervorragende Zusammenarbeit bei der Behebung dieser Probleme danken", sagte Tuominen. "Aufgrund ihrer Arbeit und der Bereitschaft, die durch unsere Forscher identifizierten Probleme zu beheben, ist die Hotelwelt heute ein sicherer Ort. Wir bitten jede Einrichtung, die diese Software nutzt, das Update so schnell wie möglich einzuspielen."

2012 hatte eine Einbruchsserie in den USA die Verwundbarkeit elektronischer Schließsysteme aufgezeigt: Ein Mann hatte mit einem selbstgebauten Werkzeug Hunderte Hoteltüren geknackt und dabei zahlreiche private Gegenstände oder Fernseher aus den Zimmern gestohlen. Dazu nutzte er unter anderem die Arduino-Plattform.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
Tink Tabs Handy T1 im Hands on
Das bessere Hotelsmartphone ist sicherer und schneller
artikel-bild
Elektromobilität
So leicht lassen sich Ladestationen und Ladekarten hacken
artikel-bild
Sicherheitslücken bei Securitymesse
Ein Handtuch als Konferenz-Badge
Meistgelesen
artikel-bild
Visual Studio Code im Web mit Gitpod
Ein Gewinn für jede Tool-Sammlung
artikel-bild
Wärmeversorgung
Berlin baut Thermoskanne gegen Gasnotstand
artikel-bild
Storytelling
IT-Projekte beginnen mit guten Geschichten
Kommentarübersicht
Re: Mehr als 10 Jahre an dem Angriff...
raxi 27. Apr 2018

Danke, denn genau so dachte ich mir das auch. Inhaltlich falsch würde ich nicht...

Re: War das nicht schon lange klar?
chefin 26. Apr 2018

Vorallem muss man sich klar machen, welche Sicherheit mechanische Schlüssel haben. Wenn...

Re: Die AV Hersteller wieder
justanotherhusky 25. Apr 2018

Versuch diese Taktik mal am selben Tag mit 5 verschiedenen Zimmern.. Denke das wird dann...

Steht Beriet
hermann.arya 25. Apr 2018

Im Teaser hat sich ein Schreibfehler eingeschlichen.. Steht beriet statt bereit.

Aktuell auf der Startseite von Golem.de
Wissenschaft
LHC hat drei neue exotische Teilchen entdeckt

Der sogenannte Teilchenzoo der Physik ist noch größer geworden. Die Wissenschaft hofft auf Bestätigung der Modelle zu deren internen Aufbau.

Wissenschaft: LHC hat drei neue exotische Teilchen entdeckt
Artikel
  1. VW.OS: VW-Software soll einfach updatefähig und bezahlbar sein
    VW.OS
    VW-Software soll "einfach updatefähig" und bezahlbar sein

    Mit seiner Softwaresparte Cariad will VW ein einheitliches System mit vereinfachter Architektur erstellen.

  2. Security: BSI beginnt Zertifizierung für 5G-Komponenten
    Security
    BSI beginnt Zertifizierung für 5G-Komponenten

    Eine schnelle und zuverlässige IT-Sicherheitsaussage für die geprüften Produkte, das verspricht das BSI. Doch welche Produkte sind betroffen?

  3. Superior Continuous Torque: E-Motor von Mahle für Dauerbetrieb unter Stress
    Superior Continuous Torque
    E-Motor von Mahle für Dauerbetrieb unter Stress

    Mahle hat einen neuen Auto-Elektromotor entwickelt, der unbegrenzt lange unter hoher Last betrieben werden kann. Dies wird durch ein neues Kühlkonzept im Motor erreicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • HP HyperX Gaming-Headset -40% • Corsair Wakü 234,90€ • Samsung Galaxy S20 128GB -36% • Audible -70% • MSI RTX 3080 12GB günstig wie nie: 948€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • CM 34" UWQHD 144 Hz günstig wie nie: 467,85€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /