Sesam öffne dich: Elektrische Türöffner mit Smartphone gehackt

Eine Sicherheitslücke in der Software von LAN-basierten Zutrittskontrollanlagen lässt sich offenbar ausnutzen, um elektrische Türschlösser unautorisiert zu öffnen. Ein Video zeigt, wie das mit einer Android-App geht.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Der Sicherheitsspezialist Michael Gough, sonst eher bekannt für Angriffe auf VoIP-Systeme, hat offenbar eine Lücke in LAN-gebundenen Zutrittskontrollanlage gefunden. Damit sollen sich elektronische Türschlösser unautorisiert über ein Netzwerk öffnen lassen. Zusammen mit dem Entwickler Ian Robertson hat Gough eine App namens Caribou für Android entwickelt, die durch Ausnutzen der Lücke Türen öffnet, die man normalerweise nur mit einer RFID-Karte entriegeln kann.

Für den Angriff soll die Android-App nur die IP-Adresse des Zutrittskontrollsystem benötigen. Demzufolge lassen sich nur Systeme angreifen, die aus dem Internet oder über WLAN erreichbar sind. Wie der Angriff genau funktioniert, will Gough jedoch noch nicht verraten, er arbeite derzeit mit dem US-CERT an dem Problem. Die App will er ebenfalls noch nicht herausrücken.

Gough hat immerhin ein Video auf Youtube veröffentlicht, dass den Angriff in der Praxis demonstrieren soll. Welches Produkte konkret von dem Problem betroffen ist, will Gough aber auch noch nicht verraten. Es gibt zwar zahlreiche Anbieter solcher Systeme, [Update] die im Video gezeigte RFID-Karte könnte jedoch auf Systeme des Herstellers HID Global hinweisen[/Update]. Die Empfehlung für Betreiber dieser Systeme lautet derzeit nur, sie mit einer Firewall vor Zugriff aus dem Internet zu schützen. (dab)