Handgepäckscanner: Mit Windows 98SE auf Waffensuche

Sicherheitsforscher haben ein gängiges Gerät zur Röntgenkontrolle von Handgepäckstücken unter die Lupe genommen. Ergebnis: Die auf Windows 98SE oder XP laufende Software erlaubt Manipulation.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Uli Ries

Billy Rios und Terry McCorkle haben sich für nur 300 US-Dollar einen ausgemusterten Scanner vom Typ Rapiscan 522B beschafft und einer ausführlichen Sicherheitskontrolle unterzogen. Das laut Rios noch an etlichen US-Flughäfen eingesetzte Gerät weist den Hackern zufolge erhebliche Sicherheitsmängel auf, die letztendlich zur Manipulation der Röntgenbilder führen können. Angreifer können so gefährliche Gegenstände im Handgepäck durch den Kontrollpunkt schleusen, während der Sicherheitsmitarbeiter das Bild einer mit harmlosen Dingen gefüllten Tasche sieht.

Waffen im Handgepäck? Manche Scanner könnten offenbar manipulierbar sein.

(Bild: Rapiscan)

Dreh- und Angelpunkt des Angriffs ist eine Funktion, mit der ein Vorgesetzter unbemerkt vom Kontrollmitarbeiter Bilder von Pistolen, Messern, Fleischerbeilen, Sägen und anderen Waffen auf dessen Display zaubert. Ziel der Übung: Die Aufmerksamkeit der Mitarbeiter zu prüfen. Drückt der Kontrolleur rechtzeitig den entsprechenden Alarmknopf an seiner Konsole, wird ihm ein entsprechendes Lob angezeigt. Andernfalls erscheint eine Warnung, dass ihm ein (fiktiver) gefährlicher Gegenstand entgangen ist. Sämtliche Ergebnisse würden gespeichert und zur Mitarbeiterbewertung heran gezogen, so Rios.

Den Hackern zufolge lasse sich diese Software aufgrund fataler Sicherheitsmängel leicht manipulieren. Da sei einerseits das zugrunde liegende Betriebssystem: Auf moderneren Variante des Geräts laufe Windows XP (wahrscheinlich ohne Service Pack), auf älteren gar noch Windows 98SE. Beide Systeme sind im Handumdrehen per Exploit unter Kontrolle zu bekommen.

Andererseits sei die Threat Image Projection (TIP) genannte Funktion, die alle von der US-Behörde TSA (Transport Security Authority) freigegebenen Scanner mitbringen müssen, im Fall des Rapiscan 522B voller Lücken: Der Login lasse sich durch Eingabe nicht erlaubter Sonderzeichen im Passwortfeld aushebeln. Zwar erscheine eine Fehlermeldung, die Anmeldung laufe aber durch. Anschließend kann jeder, der vor dem Rechner steht, sämtliche Passwörter aller anderen Nutzer auslesen: Sie sind im Klartext auf dem System abgelegt. Auch das des Supervisors.

Unklar ist, wo die löchrige Software genau zum Einsatz kommt. Laut Rapiscan verwende die TSA nicht die kommerzielle TIP-Variante. Das lässt den Schluss zu, dass diese dann in Gerichtsgebäuden, an Kontrollpunkten im Ausland oder in Botschaften verwendet wird. Denn dort finden sich typischerweise ebenfalls diese Scannermodelle.

Gegenüber dem US-Magazin Wired sagte ein TSA-Sprecher, dass das von den Hackern analysierte Scannermodell lokal nicht vernetzt sei. Somit ist zumindest ein Angriff aus der Ferne ausgeschlossen. Eine Anweisung der TSA aus dem Jahr 2010 schreibt jedoch vor, dass künftig alle am Kontrollpunkt befindliche Hardware vom Scanner über die Zutrittskontrolle bis hin zu den PCs der Kontrollmitarbeiter zu vernetzen und ins sogenannte TSANet einzubinden sei.

Rapiscan-Modelle zur Handgepäckkontrolle dürften hiervon aus einem ganz anderen Grund nicht mehr betroffen sein: Die TSA kündigte im Dezember 2013 den Vertrag mit dem Hersteller. Der Grund ist aber nicht die löchrige Software. Sondern es wurden in den Geräten nach Beschwerde eines Konkurrenten nicht genehmigte Röntgenlampen gefunden – sie stammten von einem Hersteller aus China. (axk)