Digital Life 25.04.2018

Millionen Hotelzimmer lassen sich von Hackern öffnen

© Bild: F-Secure

Sicherheitsforscher haben eine Lücke entdeckt, mit der Generalschlüssel für Hoteltüren generiert werden können.

F-Secure hat eine Schwachstelle gefunden, die Hotels auf der ganzen Welt betrifft. Laut dem IT-Security-Unternehmen sind es Millionen von Hotelzimmern, in die Kriminelle so eindringen könnten.

Die Sicherheitslücke wurde im Schließsystem Vision by VingCard entdeckt, das weit verbreitet ist. Die Angreifer benötigen dazu eine Schlüsselkarte des Hotels. Diese muss nicht einmal aktuell sein: Auch alte, abgelaufene Karten, ausgemusterte Exemplare oder Karten, die lediglich den Zugang zur Garage oder einem Abstellraum ermöglichen, reichen aus. Mit diesen kann ein Generalschlüssel generiert werden, der sämtliche Türen mit den elektronischen Schlössern im Hotel öffnet – inklusive der Hotelzimmer.

Keine Spuren

Laut F-Secure hinterlasse dieser Angriff keine Spuren und würde unbemerkt erfolgen. Die Sicherheitsforscher begannen bereits vor 15 Jahren Schließsysteme in Hotels zu analysieren, als einem Mitarbeiter ein Notebook aus dem Zimmer gestohlen wurde. Das Hotel verweigerte damals das Ersetzen des Notebooks, weil es keine Beweise für ein gewaltsames Eindringen oder einen unbefugten Zugriff gab.

Für den Angriff wurden mehrere kleinere Schwachstellen kombiniert. Das Entwickeln dieser Methode dauerte mehrere Tausend Stunden. Jetzt wo sie fertig ist sei es damit „kinderleicht“ den Generalschlüssel fürs jeweilige Hotel zu generieren. Der Vorgang dauert laut F-Secure weniger als eine Minute. Abgesehen von der alten Zutrittskarte wird noch ein etwa 300 Dollar teures Gerät zum Auslesen und Beschreiben von Karten benötigt. Der Angriff soll sowohl mit Karten mit RFID-Chips als auch mit Magnetstreifen funktionieren.

Assa Abloy, der Hersteller des betroffenen Schließsystems, wurde im April 2017 über die Sicherheitslücke informiert. Ein Software-Update wurde bereits an die Hotels ausgeliefert. Dieses muss aber von jedem Hotel, für jedes Schloss einzeln, installiert werden. Wie viele Hotels bzw. Hotelzimmer so bereits abgesichert wurden, ist nicht bekannt. Laut F-Secure gebe es zumindest derzeit keine Hinweise darauf, dass diese Angriffsmethode von Kriminellen genutzt werde.

( futurezone ) Erstellt am 25.04.2018