CCC hackt Hotel-Schlösser der neuesten Generation
Nahezu täglich wechselnde Gästebelegung, Zutrittsmöglichkeiten für Hotel-
Personal, Bedarf an Zweit- und Drittschlüsseln bei Mehrbettzimmern, häufig
verlorene oder im Zimmer vergessene Schlüssel: Hotel-Schlössern kommt auf dem
Markt der Schließsysteme eine besondere Rolle zu.
Die vielfältigen und breiten Anforderungen, gepaart mit einem hohen Anspruch
an den Bedienkomfort, machen Hotel-Schließsysteme zu einem der
innovationsfreudigsten Bereiche der Sperrtechnik. Mechanische Schlösser sind
nur noch selten anzutreffen: Längst dominieren SmartCard-basierte, in der
Regel kontaktlose Lösungen das Feld.
Die neueste Generation verspricht dabei nicht nur den Verzicht auf den
handlichen Schlüssel im Kreditkartenformat, sondern auch gleich auf die
Schlange am Checkin-Schalter: Nach einem Online-Checkin per Smartphone-App
lässt sich das Hotelzimmer direkt mit der App öffnen. Zum Einsatz kommt dabei
die aktuelle vierte Generation der Bluetooth-
Funktechnologie.
Angriffsszenario
Die CCC-Sicherheitsforscher Michael Huebler und Ray suchen seit vielen
Jahren die sportliche Auseinandersetzung mit Schließsystemen aller Art. Im
Rahmen ihrer Forschungen haben sie Anfang 2019 eine Schwachstelle in einem
solchen modernen Schließsystem entdeckt: Nach Analyse eines Funk-Mitschnitts
nur eines einzigen kabellosen Entsperrvorganges kann der dem Schließverfahren
zugrunde liegende Schlüssel extrahiert und danach zum beliebig häufigen Öffnen
des Schlosses genutzt werden. Ein solcher Mitschnitt lässt sich zum Beispiel
auch im Fahrstuhl oder im Sportbereich des Hotels anfertigen, wenn diese einer
Zutrittskontrolle mit dem gleichen Schlüssel unterliegen.
Technischer Hintergrund
Das Bluetooth-Signal selbst kann mit günstiger Consumer-Hardware für unter 30
€ mitgeschnitten werden. Die betroffenen Schlösser sind allerdings gegen
triviale Replay-Angriffe, bei
denen das gleiche Funksignal plump noch einmal „abgespielt“ wird, effektiv
geschützt.
Es kommt darüber hinaus ein vom Hersteller selbst entwickeltes Challenge-
Response-Verfahren zum Einsatz. Auf aktuelle starke Kryptografie wird dabei
ebenso verzichtet wie auf einen Schlüssel – was bei einem Schloss nicht einer
gewissen Ironie entbehrt.
Das bedeutet: Wer das besser als „Verschleierung“ zu bezeichnende Verfahren
kennt, kann auch aus mitgeschnittenen Daten leicht die Klartextnachricht
extrahieren – ein Verstoß gegen grundsätzliche Anforderungen an
kryptografische Verfahren.
Technische Details werden die beiden Forscher Ende August auf dem Chaos
Communication
Camp bei
Berlin und auf der [Black Hat
Conference](https://www.blackhat.com/us-19/briefings/schedule/#moving-from-
hacking-iot-gadgets-to-breaking-into-one-of-europes-highest-hotel-
suites-16099) in Las Vegas präsentieren.
Einordnung des Risikos
Ältere und weiter verbreitete Hotelschloss-Generationen haben teilweise nie
behobene Schwachstellen, die nicht selten ein Kopieren der Zugangskarten mit
trivialen Methoden oder auch direkte Angriffe auf die Schlösser ermöglichen.
Auch das freundliche Fragen nach dem angeblich im Zimmer vergessenen Schlüssel
an der Rezeption gehört zu den potenziellen Risikoszenarien eines Hotelgastes.
Der von den Forschern entwickelte Angriff betrifft die neueste Generation von
Hotelschlössern, welche gerade erst ausgerollt wird und deshalb erst in
vergleichsweise wenigen Hotels zum Einsatz kommt. Durch die noch geringe
Verbreitung ist es dem Hersteller möglich, mit einem Update zu reagieren und
mit überschaubarem Aufwand sicherzustellen, dass die Schwachstelle auch
wirklich im Feld behoben wird. Der Angriff ist zudem nur auf Nutzer anwendbar,
die das System auch tatsächlich mit dem Handy als Schlüssel nutzen.
„Wir freuen uns, dass wir die Schwachstelle so früh gefunden haben. So können
wir wirksam zur Verbesserung eines neuen Schließsystems beitragen. Schon in
einem Jahr hätten die Chancen sehr viel schlechter gestanden, dass die Mängel
noch im Feld behoben werden“, sagte Ray, einer der beiden Sicherheitsforscher
des CCC.
Der CCC hat den Hersteller im April 2019 informiert. Seitdem arbeitet der
Hersteller an einem umfassenden Update, das die Schwachstelle durch Verwendung
eines neuen Verschlüsselungsverfahrens wirksam beseitigen soll. Das Update
soll noch im August 2019 vollständig ausgerollt werden.
Empfehlungen an betroffene Hotels
Die Schwachstelle findet sich im System „Mobile Key“ des deutschen Herstellers
Messerschmitt. Die betroffenen Hotels und Anbieter wurden in der vergangenen
Woche vom Hersteller informiert. Ein Update will der Hersteller noch vor Ende
des Monats August 2019 ausrollen.
„Auch wenn wir die technischen Details nicht veröffentlichen, ist davon
auszugehen, dass Interessierte den Angriff ebenfalls mit einfachen Methoden
implementieren können. Wir raten daher zum umgehenden Einspielen der Updates,
sobald der Hersteller sie bereitstellt“, sagte Michael Huebler, Mitglied im
Verein Sportsfreunde der Sperrtechnik.
Mit dem Update will der Hersteller die vom CCC gemeldeten Schwachstellen
beseitigen. Die Wirksamkeit des Updates hat der CCC zum heutigen Zeitpunkt
noch nicht prüfen können.
Empfehlungen an Kundinnen und Kunden
Bis zur Behebung der Schwachstelle durch den Hersteller empfiehlt der Chaos
Computer Club auf die Verwendung des Smartphones als „Mobile Key“ bei
Schlössern dieses Herstellers zu verzichten. Betroffene Schlösser sind leicht
durch die entsprechende Beschriftung zu erkennen.
- Chaos Communication Camp 2019: Taking Bluetooth lockpicking to the next level …or the 37th floor of a Hotel
- Blackhat Briefing 2019: Moving from Hacking IoT Gadgets to Breaking into One of Europe's Highest Hotel Suites