Kategorien
Bei Google Podcast anhören

Sind Ihre Wertsachen sicher? Neue Studie enthüllt massive Risiken!

  • Tausende elektronische Schließfächer in Fitnessstudios, Büros und Schulen könnten laut neuer Forschung gefährdet sein, da kostengünstige Hacking-Tools Administratorenschlüssel extrahieren und ausnutzen können. Bei der Sicherheitskonferenz am Sonntag demonstrierten die Experten Dennis Giese und „braelynn“, wie digitale Verwaltungsschlüssel extrahiert und kopiert werden können, um andere Schließfächer am selben Standort zu öffnen. Die Forscher konzentrierten sich auf elektronische Schlösser der Hersteller Digilock und Schulte-Schlagbaum.
  • Die Forscher Giese und „braelynn“ untersuchten verschiedene Modelle von Digilock und Schulte-Schlagbaum, die zwischen 2015 und 2022 verkauft wurden, und zeigten Sicherheitslücken auf. Sie nutzen kostengünstige Debugging-Tools, um auf den EEPROM der Schlösser zuzugreifen und Daten wie gesetzte PINs und Verwaltungsschlüssel zu extrahieren. Häufig war der EEPROM nicht gesichert, was das Extrahieren von Daten ermöglichte.
  • Giese und „braelynn“ meldeten ihre Ergebnisse beiden betroffenen Unternehmen, wobei Digilock eine Lösung für die Sicherheitslücken versprach und zusätzliche Schutzmaßnahmen einführte. Schulte-Schlagbaum reagierte hingegen nicht auf die Berichte. Ein Sprecher von Digilock betonte, dass das Unternehmen die Sicherheit ernst nehme und aktuelle Produkte über zusätzlichen Schutz verfügen.
  • Trotz der eingeführten Schutzmaßnahmen bleibt unklar, wie viele Schlösser von den Schwächen betroffen sind und die besagten Schwachstellen erfordern Expertise und Zugang zu den Schlössern. Das Unternehmen Digilock gab an, dass es bei einem Verlust eines Administrationsschlüssels einfach sei, das Schloss neu zu programmieren und potenzielle Sicherheitsrisiken zu mindern.
  • Sicherheitsexperten wie Dennis Giese tragen durch das Entdecken und Berichten ihrer Erkenntnisse dazu bei, eine sicherere Zukunft zu schaffen, was auch von der Electronic Frontier Foundation unterstützt wird. Giese betont die Wichtigkeit der Vorsicht bei der Verwendung von PINs und rät dazu, eindeutige PINs zu verwenden, um verschiedene Arten von Risiken zu reduzieren.

Tausende elektronische Schließfächer in Fitnessstudios, Büros und Schulen könnten laut neuer Forschung gefährdet sein, da Kriminelle mit kostengünstigen Hacking-Tools Administratorenschlüssel extrahieren und ausnutzen könnten. Bei der Sicherheitskonferenz am Sonntag demonstrierten die Sicherheitsexperten Dennis Giese und „braelynn“, wie digitale Verwaltungsschlüssel aus Schließfächern extrahiert, kopiert und zum Öffnen anderer Schließfächer am selben Standort verwendet werden können. Die Forscher konzentrierten sich auf verschiedene Modelle von elektronischen Schlössern zweier weltweit führender Hersteller, Digilock und Schulte-Schlagbaum.

Hackertechniken enthüllt

In den letzten Jahren haben die Forscher, beide mit einem Hintergrund im Schlossknacken, verschiedene elektronische Schlösser untersucht, die numerische Tastenfelder verwenden, sodass Menschen sie mit einer PIN setzen und öffnen können. Ihre Arbeit basiert auf zahlreichen Beispielen von Sicherheitslücken in Schließfächern und kommerziellen Tresoren. Für die Recherche kauften Giese und „braelynn“ elektronische Schlösser auf eBay, insbesondere solche, die nach der Schließung einiger Fitnessstudios während der Covid-19-Pandemie und aus anderen gescheiterten Projekten verkauft wurden. Giese konzentrierte sich auf Digilock, während „braelynn“ Schulte-Schlagbaum untersuchte. Während ihrer Forschung begutachteten sie verschiedene Modelle von Digilock aus den Jahren 2015 bis 2022 und Schulte-Schlagbaum aus den Jahren 2015 bis 2020.

Giese und „braelynn“ zeigten auf, wie Sicherheitslücken von einem vorbereiteten Hacker ausgenutzt werden könnten. Sie erklärten, dass sie das elektronische Schloss auseinandernehmen und dann die Firmware und gespeicherten Daten des Geräts extrahieren können. Diese Daten, so Giese, könnten gesetzte PINs, Verwaltungsschlüssel und Programmierschlüssel enthalten. Die Manager-Schlüssel-ID könnte dann auf eine kostengünstige Arduino-Schaltung kopiert und verwendet werden, um andere Schließfächer zu öffnen.

Verwundbarkeit durch unsichere EEPROMs

Giese betont: „Wenn Sie auf ein Schloss zugreifen, können wir alle im Gebäude öffnen – sei es die gesamte Universität oder das gesamte Unternehmen.“ Die Forscher benötigten jedoch einige Zeit und Mühe, um zu verstehen, wie die Schließsysteme funktionieren. Sie bauten die Schlösser auseinander und nutzten kostengünstige Debugging-Tools, um auf den löschbaren, programmierbaren Nur-Lese-Speicher (EEPROM) der Geräte zuzugreifen. Häufig war dieser in den getesteten Schlössern nicht gesichert, was das Extrahieren von Daten ermöglichte.

„Aus dem EEPROM können wir die Programmier-Schlüssel-ID, alle Manager-Schlüssel-IDs und die Benutzer-PIN/Benutzer-RFID-UID herausziehen“, erklärt Giese. „Neuere Schlösser löschen die gesetzte Benutzer-PIN, wenn das Schließfach entsperrt wird. Aber die PIN bleibt bestehen, wenn das Schließfach mit einem Manager- oder Programmierschlüssel geöffnet wurde.“ Die Forscher meldeten ihre Ergebnisse beiden betroffenen Unternehmen und sprachen mit Digilock über die Ergebnisse. Digilock erklärte, man habe eine Lösung für die gefundenen Sicherheitslücken bereitgestellt. Schulte-Schlagbaum reagierte jedoch nicht auf die Berichte.

Schutzmaßnahmen der Hersteller

Ein Sprecher von Digilock sagte gegenüber WIRED am 7. August, dass das Unternehmen die Sicherheit sehr ernst nehme und nach dem Kontakt mit Giese zusätzlichen Schutz in seine Produkte eingebaut habe. „Aktuelle Digilock-Produkte verfügen über zusätzliche Code-Schutzmaßnahmen, um ihre Sicherheit weiter zu verbessern“, so der Sprecher. Unklar bleibt jedoch, wie viele Schlösser von den Schwächen betroffen waren.

„Die besprochenen Schwachstellen erfordern bedeutende Expertise, Zeit und Zugang zu einem bestimmten Standortschloss und dem damit verbundenen Administrationsschlüssel“, erklärt der Sprecher. „Selbst wenn ein Hacker einen Administratorenschlüssel dupliziert, funktioniert der duplizierte Schlüssel nur bei Schlössern, die derzeit mit dem duplizierten Schlüssel programmiert sind.“ Falls ein Administrationsschlüssel verloren geht, sei es sehr einfach, das Schloss neu zu programmieren und aus dem System zu entfernen, wodurch potenzielle Sicherheitsrisiken schnell gemindert werden.

Zukunft der Sicherheit

Der Tag vor der geplanten Präsentation ihrer Ergebnisse am 9. August erhielt Giese ein Schreiben von Digilock. Das rechtliche Ersuchen wurde jedoch nach Gesprächen zwischen beiden Seiten zurückgezogen. Das Unternehmen lehnte einen Kommentar zu dem Schreiben ab, aber eine Erklärung betont, dass das Unternehmen die Arbeit der Forscher „respektiert“, hofft, weiterhin mit Giese an Sicherheitsfragen zu arbeiten, und beschreibt, wie es die Daten auf dem EEPROM verschlüsselt.

„In über 32 Jahren gab es keine gemeldeten Fälle von gestohlenen Gegenständen aufgrund gehackter Digilock-Schlösser. Digilock verpflichtet sich voll und ganz, seinen Kunden sichere Lösungen bereitzustellen“, schließt die Erklärung ab. „Falls wir keine Kenntnis von Sicherheitslücken haben, können wir sie nicht beheben und keine besseren Systeme für die Zukunft entwickeln“, sagt Hannah Zhao, Anwältin bei der Electronic Frontier Foundation, die Giese half, sicherzustellen, dass der Vortrag nach dem Unterlassungsschreiben stattfinden konnte. „Durch das Entdecken und Berichten ihrer Erkenntnisse tragen Sicherheitsexperten wie Herr Giese dazu bei, eine sicherere Zukunft für uns alle zu schaffen.“

Letztlich könnten viele Menschen skeptisch sein, wie sicher ein Schließfach in einem Fitnessstudio oder Einkaufszentrum ist. Doch die Forscher warnen, dass das Erbeuten einer PIN oder anderer Informationen aus dem digitalen Speicher eines Schließfachs mehr Schaden anrichten könnte, als nur den Diebstahl von Tasche und Geldbörse. Giese rät dazu, vorsichtiger mit den PINs umzugehen, die man auf seinen Geräten verwendet, und betont, dass RFID-Tokens eines Schließfachs möglicherweise auch anderswo in einem Bürogebäude, wie an Türen, verwendet werden könnten, was fortgeschrittenen Angriffen erweiterten Zugang zu Systemen ermöglichen könnte. „Wenn Sie die Wahl haben, Ihre eigene PIN zum Sperren des Schließfachs auszuwählen, welche PIN verwenden Sie? Ich persönlich nutzte eine PIN, die ich überall für wichtige Dinge benutzte“, sagt Giese. Durch die Verwendung eindeutiger PINs können alle Arten von Risiken reduziert werden.

Mehr zum Thema:
Total
0
Shares
Share 0
Tweet 0
Pin it 0

Thomas Harnisch ist Senior Online Marketing Manager mit über 17 Jahren Berufserfahrung, davon mehr als 8 Jahre in der Touristik. Als Hobbyfotograf und -koch probiert Thomas Harnisch gerne neue technische Geräte aus. Wenn er nicht gerade fotografiert oder eine kulinarische Kreation zaubert, verbringt er seine Zeit mit seiner Frau und seiner kleinen Tochter. Mit seinem neuen Blog agentur.rocks möchte Thomas gerne sein Wissen und seine gemachten Erfahrungen teilen.

Dir könnte auch gefallen
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert