Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Elektronische Schließfächer in Hotels & Co. gehackt – Abhilfe nur schwer möglich

Sicherheitsforscher haben Schwachstellen in öffentlichen elektronischen Schließfächern entdeckt. Sie lassen sich entsperren und sensibler Daten berauben.

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen

Braelynn und Dennis Giese demonstrierten auf der Def Con 32 live, wie leicht Unbefugte elektronischen Schlösser entsperren können.

(Bild: Uli Ries)

Update
Lesezeit: 4 Min.
Security
Von
  • Uli Ries
Inhaltsverzeichnis

Zwei Hardware-Hacker haben unter anderem diverse Schlösser des in Europa gängigen Herstellers Schulte-Schlagbaum AG (SAG) und des in den USA weitverbreiteten Anbieters Digilock auf Schwachstellen abgeklopft. Sämtliche überprüfte Schlösser funktionieren offline und stammen aus den Jahren 2014 bis 2023. Man findet sie unter anderem in Fitnessstudios, Krankenhäusern, Banken, Hotels und Bibliotheken.

Das Ergebnis präsentierten sie im Rahmen der Hacker-Konferenz Def Con 32. Die Schlösser lassen sich vergleichsweise einfach aushebeln. Im Gespräch mit heise security betonte Dennis Giese, dass dies kein auf Digilock und SAG beschränktes Problem sei, sondern auch andere Hersteller betrifft.

Schwierige Update-Situation

Dies ist umso fataler, da sich die gefundenen Einfallstore unter Umständen nur schwer aus der Welt schaffen lassen. Stellt ein Hersteller überhaupt ein Firmware-Update bereit – wie Digilock es als Reaktion auf die Hacks plant – müsste jedes Schloss aufgeschraubt, mit einem Programmiergerät verbunden und mit neuer Software versehen werden.

Beispiele für geknackte elektronische Schlösser, die unter anderem in Schließfächern in öffentlichen Einrichtungen verwendet werden.

(Bild: Braelynn & Dennis Giese)

Bis auf Weiteres sollte demzufolge niemand Geheimnisse in einem solchen Schließfach unterbringen. Zudem rät Giese, keinesfalls Smartphones, Laptops, Tablets oder Bezahlkarten wegzuschließen, deren PIN mit dem des Schlosses übereinstimmt. Um das Risiko für Nutzer solcher Spinde zu minimieren, haben die Sicherheitsforscher bewusst nicht alle Details ihrer Hacks veröffentlicht.

Firmware und Geheimnisse auf dem Silbertablett

Zum Aufspüren der Lücken haben sie eigenen Angaben zufolge auf verschiedenen Wegen versucht, die jeweilige Firmware auszulesen. Im Fall der Digilock-Schlösser war das ohne Umwege möglich, da weder EEPROM, noch Code-Speicher gegen Auslesen geschützt waren. Trafen die Hacker auf eine partiell geschützte Firmware, bedienten sie sich eines eigens an das jeweilige Modell angepassten Dumpers.

Letztlich benötigten die Forscher die Firmware aber gar nicht, da im ausgelesenen EEPROM-Speicher alle Daten liegen, die ihnen ein unbefugtes Entsperren beliebiger Schlösser ermöglichen. Allen voran die ID der „Manager Keys“. Dieser Schlüssel kommt in Form eines Hardware-Tokens und dient dem Besitzer der Schließfachinstallation, um jegliches Schloss zu öffnen, beziehungsweise es mit einem neuen PIN-Code versehen zu können.

Einbruchswerkzeug: Zum Aushebeln der untersuchten Digilock-Schlösser genügen ein Schraubendreher, ein Debugger sowie ein Flipper Zero beziehungsweise Arduino.

(Bild: Braelynn & Dennis Giese)

Außerdem enthält der Speicher die aktuell gesetzte Nutzer-PIN oder RFID-UID. Im Gespräch weist Giese darauf hin, dass jede Einrichtung mit solchen Schließfächern eigene Manager Keys und IDs hat. Ein universeller, ortsübergreifender Angriff ist also nicht möglich. Einmal ausgelesen lässt sich eine ID Giese zufolge aber unkompliziert mittels eines Flipper Zero oder Arduino emulieren.

Aufschrauben nötig

In der Praxis benötigen potenzielle Angreifer aber Zugang zu einem unverschlossenen Fach, dessen Schloss sie mit einem Schraubendreher öffnen. Einen physischen Manipulationsschutz gebe es bei keinem der untersuchten Schlösser.

Durch Anstecken des Debuggers an die jeweiligen Boards im Inneren des Schlosses können sie die ID auslesen. Anschließend schreiben die Angreifer die ID auf den Flipper und öffnen so sämtliche anderen Schließfächer – ohne hierbei die PIN des Opfers ändern zu müssen, sodass das Öffnen unbemerkt bleibt. Nachdem Angreifer zudem die im Speicher des Schlosses abgelegten Log-Daten nach Belieben ändern können, würde das unbefugte Öffnen noch nicht einmal dem Besitzer der Spinde auffallen, führen die Forscher aus.

Auch SAG verzichtet auf jeglichen Schutz der EEPROMS beziehungsweise des Boards. Im ausgelesenen Speicher findet sich dann der Master-Schlüssel in Form einer PIN oder RFID-Unique-ID, der für alle Schlösser in der jeweiligen Einrichtung gilt.

Weitreichende Einbrüche möglich

Brisant: SAG ist kompatibel zu Mifare Classic- und DESFIRE-Smart-Cards, wie sie beispielsweise auch für Türzutrittssysteme verwendet werden. Setzt eine Einrichtung auf diese Karten, finden Hacker in den Logs des Schlosses unter anderem die Unique IDs zuvor gelesener Karten. Dies sei laut Giese hinreichend, um eine Karte zu klonen und sich so je nach Konfiguration des Gesamtsystems Zutritt zu anderen Gebäudeteilen zu verschaffen.

(Fast) verbotener Vortrag

Der Vortrag der Hacker stand kurzzeitig auf der Kippe, da Digilock die Präsentation per Abmahnung (Cease & Desist Letter) verhindern wollte. Die Forscher konnten mithilfe der Electronic Frontier Foundation aber einen Kompromiss aushandeln: Sie verzichteten darauf, den Angriff im Detail auf der Bühne vorzuführen und demonstrierten lediglich das Entsperren, nicht aber das Auslesen der nötigen Daten.

Update

Mittlerweile hat sich SAG an heise Security gewendet und eine Stellungnahme veröffentlicht. Darin schreiben sie unter anderem, dass eine Aktualisierung der Firmware beim Großteil der Modelle ohne ein Auseinanderbauen des Schlosses möglich sei. Sicherheitsupdates sollen sich derzeit in der Entwicklung befinden. Außerdem sei es bei SAG-Modellen nicht möglich, die ID des Manager Keys aus dem EEPROM auszulesen.

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten