Hotels und Co. betroffen: Schwachstellen in elektronischen Schließfächern entdeckt

MÜNCHEN (IT BOLTWISE) – Sicherheitsforscher haben gravierende Schwachstellen in elektronischen Schließfächern entdeckt, die in Hotels, Fitnessstudios und anderen öffentlichen Einrichtungen weltweit verwendet werden. Diese Schwachstellen ermöglichen es Hackern, die Schlösser mit einfachen Mitteln zu knacken und sensible Daten zu stehlen.

Zwei Hardware-Hacker haben unter anderem elektronische Schließsysteme der europäischen Schulte-Schlagbaum AG (SAG) und des US-amerikanischen Herstellers Digilock genauer untersucht. Die betroffenen Schlösser stammen aus den Jahren 2014 bis 2023 und werden offline betrieben. Sie finden sich in Fitnessstudios, Krankenhäusern, Banken, Hotels und Bibliotheken. Das Ergebnis der Untersuchung wurde auf der Def Con 32, einer renommierten Hacker-Konferenz, vorgestellt. Es zeigte sich, dass die Schlösser vergleichsweise leicht ausgehebelt werden können. Besonders alarmierend ist, dass diese Schwachstellen nicht nur Digilock und SAG betreffen, sondern auch andere Hersteller.

Die Situation wird zusätzlich erschwert, da mögliche Sicherheitsupdates nur schwer umsetzbar sind. Selbst wenn Hersteller wie Digilock ein Firmware-Update zur Verfügung stellen, muss jedes Schloss individuell geöffnet, mit einem Programmiergerät verbunden und die neue Software aufgespielt werden. Dennis Giese, einer der Forscher, rät daher dringend davon ab, in solchen Schließfächern sensible Gegenstände wie Smartphones oder Bezahlkarten aufzubewahren. Besonders kritisch sei es, wenn die PIN des Schlosses mit der PIN solcher Geräte übereinstimmt. Um das Risiko für Nutzer zu minimieren, haben die Forscher bewusst nicht alle Details ihrer Hacks veröffentlicht.

Bei der Suche nach Sicherheitslücken versuchten die Hacker, die Firmware der Schlösser auszulesen. Bei Digilock war dies problemlos möglich, da weder der EEPROM noch der Code-Speicher ausreichend gegen das Auslesen geschützt waren. In anderen Fällen nutzten die Hacker spezialisierte Werkzeuge, um die Firmware zu extrahieren. Doch letztlich war dies gar nicht nötig, da im ausgelesenen EEPROM-Speicher alle relevanten Daten, einschließlich der „Manager Keys“-ID, gespeichert waren. Diese ID ermöglicht es, jedes Schloss zu öffnen oder mit einem neuen PIN-Code zu versehen.

Besonders besorgniserregend ist, dass in den meisten Fällen ein physischer Manipulationsschutz fehlt. Angreifer benötigen lediglich Zugang zu einem unverschlossenen Fach, um mit einem Schraubendreher das Schloss zu öffnen und die ID auszulesen. Diese ID kann anschließend mit Geräten wie einem Flipper Zero oder Arduino emuliert werden, wodurch sämtliche Schließfächer geöffnet werden können, ohne die PIN des Opfers zu ändern. Da Angreifer auch die Log-Daten im Speicher des Schlosses nach Belieben ändern können, bleibt der unbefugte Zugang oft unbemerkt.

Auch die Schulte-Schlagbaum AG (SAG) verzichtet auf ausreichenden Schutz der EEPROMS und Boards. In deren Speicher ist der Master-Schlüssel in Form einer PIN oder RFID-Unique-ID gespeichert, der für alle Schlösser einer Einrichtung gilt. Besonders brisant ist dabei die Kompatibilität von SAG-Schlössern zu Mifare Classic- und DESFIRE-Smart-Cards, wie sie auch für Türzutrittssysteme verwendet werden. Hacker könnten durch das Auslesen von Unique IDs solcher Karten Zugang zu anderen Gebäudeteilen erhalten, je nach Konfiguration des Systems.

Der Vortrag der Sicherheitsforscher auf der Def Con 32 stand zunächst auf der Kippe, da Digilock rechtliche Schritte einleitete, um die Präsentation zu verhindern. Mithilfe der Electronic Frontier Foundation wurde jedoch ein Kompromiss erzielt: Die Forscher verzichteten darauf, den Angriff im Detail auf der Bühne vorzuführen, und beschränkten sich darauf, das Entsperren zu demonstrieren, ohne die nötigen Daten offenzulegen.