Etwas JavaScript öffnet die Tür zu Luxus-Lounges auf Flughäfen

Hacker, Flughafen, QR-Code, Defcon, Lounge Hacker, Flughafen, QR-Code, Defcon, Lounge
Wer des Öfteren mit längeren Wartezeiten auf Flughäfen zu tun hat, dürfte sich häufiger Wünschen, auch als normaler Passagier Zugang zu den exklusiven Lounges für die besser zahlenden Fluggäste zu bekommen. Das ist mit einem gefälschten QR-Code überhaupt kein Problem, wie sich nun zeigt.

Auf der Hacker-Konferenz DefCon demonstrierte Przemek Jaroszewski, der das polnische Computer Emergency Response Team (CERT) leitet, dass es lediglich einer einfachen, selbst geschriebenen App bedarf, um sich Zutritt zu verschaffen. Dass diese funktioniert, zeigt auch ein Video, das Jaroszewski in Istanbul aufgenommen hat.

Wie der Sicherheitsexperte ausführte, habe er seine App auch auf diversen anderen europäischen Flughäfen getestet, wo sie auch überall funktionierte. Für andere Regionen konnte er allerdings keine Versuche vorweisen. Hier müssen andere einspringen. Den Code für seine App veröffentlichte er zwar nicht, doch soll es einem Hacker, der einigermaßen Ahnung von QR-Codes und Zugangssystemen hat, ein Einfaches sein, selbst entsprechende Fakes zu produzieren.

Gratis-Massagen mit etwas JavaScript

Den Kern seiner Anwendung sollen lediglich rund 500 Zeilen JavaScript-Code bilden. Diesem müssen lediglich einige halbwegs valide Informationen zum Flug mitgeteilt werden, die sich im Flughafen leicht von den öffentlich verfügbaren Informationen auf Anzeigetafeln ablesen lassen. Eine individuelle Boarding-Nummer oder gar ein Name wird nicht benötigt.

Jaroszewski testete seine Fake-Codes nach eigenen Angaben vorsichtshalber aber nur dann, wenn er ohnehin eine Zugangsberechtigung für die Lounge hatte. Mit einer Ausnahme: Einmal habe er einen Bekannten, der sonst hätte im Bereich für die normalen Passagiere warten müssen, mit einem gefälschten Code mit in die Lounge geschleust. Da die Zugänge ohnehin hinter den Sicherheitskontrollen zu finden sind, ist die ganze Sache kein ernsthaftes Problem für die Airport-Security - aber man kann zumindest gratis etwas Luxus abstauben. Bei der Turkish Airlines in Istanbul gibt es beispielsweise ein Kino, eine kleine Golf-Anlage, eine Bäckerei und kostenlose Massagen.

Allerdings zeigt der Fall, dass entsprechende Zugangssysteme vielleicht auch in anderen Bereichen nicht so sicher sind, wie oft angenommen wird. Das Beispiel des Polen dürfte sicherlich andere Hacker zu eigenen Tests herausfordern, von denen man dann auf kommenden Konferenzen erfahren kann.
Dieses Video empfehlen
Kommentieren12
Tags:
Jetzt einen Kommentar schreiben
 
Das wird aber nur sehr punktuell funktionieren bzw. bei bestimmten Airlines. Bei den meisten Lounges hat man weiterhin Empfangsdamen die, sofern man nicht Business gebucht hat, die Vielflieger-Karte überprüfen.

Sollte Business gebucht sein, haben sie dafür oft Passagierlisten. Wenn der eigene Name dort nicht steht, wird schon einmal nachgefragt ob tatsächlich eine Buchung vorliegt.
 
@Stratus-fan: So sieht's nämlich aus. Allerdings kosten Upgrades für die Lounge auch kein Vermögen.
 
Unglaublich, dass da jemand Aufwand betreibt um in so eine ``Lounge'' hineinzukommen.

Bei Geschäftsflügen habe ich da eigentlich immer Zutritt gehabt, habe so eine Lounge aber nur einmal betreten und bin da sofort wieder verschwunden als das Personal meinte mich anquatschen und mir einen Sekt offerieren zu müssen. Luxus ist für mich, wenn ich irgendwo alleine und ungestört sein kann und nicht wenn man mich mit anderen Leuten zusammensperrt die auch etwas mehr für ihren Flug bezahlt haben und dann einen auf Schickeria macht. Da kriege ich Ausschlag und suche mir lieber eine einsame zugige Ecke im Flughafen, wo sich keiner hintraut um mir auf die Nerven zu fallen und arbeite dort ungestört von irgendwelchen Bedienungen mit meinem Notebook.

Diese Lounges sind genauso Gemeinschaftsknast wie im Flugzeug seine Zeit absitzen zu müssen.
 
@resilience: Du hast einen Freisekt abgelehnt?
 
@regulator: Jup. Mit dem Neurotoxin Alkohol putze ich für gewöhnlich Fenster- und Autoscheiben. Keine Ahnung wieso ich das Zeug trinken sollte. Ich finde das schon irgendwie bedenklich, wenn mir jemand ein Nervengift zum Trinken anbietet. Normalerweise müsste man die Fluggesellschaft dafür verklagen können. Das ist (versuchte) Körperverletzung.
 
@resilience: Ich hoffe, du wirst glücklich im Leben. Ich gönne mir jetzt erstmal ein Fläschchen Wein.
 
@regulator: jeder hat das Recht dazu.
Ich kann das nachvollziehen.
Raus aus dem Trubel und dem Lärm, rein in die Lounge.
Wenn da jemand dezent mit einem Tablett vorbeikommt, okay, aber angequatscht zu werden, nervt.
Mich nervt es auch schon, wenn ich beim Einkaufen angequatscht werde, ob ich ein Stück Käse oder eine Mainstream-Zeitung haben will.
Ich mag Käse - wenn mir danach ist.
Und am Airport muss ich lachen, wenn ich bei Air Berlin Leute am VIP-Schalter sehe, die sich wichtig vorkommen, weil sie bevorzugt behandelt werden, während die anderen Touris noch warten müssen.
Ich meine, Air Berlin - also, bitte... Wenn das eine 747-8 der KLM nach Buenos Aires wäre, okay, aber bei einem 3-Stunden-Flug in eine südeuropäische Billigurlaubszone zur Billigsaison?
 
@Druidialkonsulvenz: Natürlich hat jeder das Recht, eine angebotene Speise oder ein Getränk abzulehnen. Bei Käse oder einem Printerzeugnis (der unehrlichen Presse) kann ich das verstehen; bei alkoholischen Getränken allerdings weniger.
Ich fliege grundsätzlich - wenn ich es selbst entscheiden kann - mit der Lufthansa. Dort gibt es bei Langstreckenflügen an Bord alkoholische Getränke gratis. Vielleicht bin ich da einfach gestrickt, aber dies reicht schon, um mich prinzipiell zufriedenzustellen - zusammen mit dem Internet-Hotspot bin ich dann glücklich.
 
@Druidialkonsulvenz: Dir ist schon klar, dass Air Berlin nicht nur Urlaubsstrecken fliegt? TXL/DUS-MUC, TXL-FRA und Co haben recht wenig mit "südeuropäischer Billigurlaubszone" zu tun und machen einen guten Teil vom Angebot aus. Gleiches gilt für immer mehr Langstreckenangebote in die USA.

Beim "Malle-Shuttle" oder auf den Weg auf die Kanaren hast Du dann auch deutlich weniger Leute an der Fastlane als auf Business-Rennstrecken.

Und mal ganz abseits davon: Ich fliege ziemlich viel (AB, British Airways, Etihad, Finnair, Lufthansa, Cathay Pacific...) und finde, dass Air Berlin kein Billig-Brand ist. In deinem Text ist ja ein ziemlicher Unterton in dieser Richtung drin.
 
@Stratus-fan: nun, gleicher Check-in, also gleicher Flug...

AB ist billig, was die da servieren, ist mit meinen früheren Erfahrungen mit richtigen Linien nicht vergleichbar.

IMHO
 
@Druidialkonsulvenz: Also ob ein LH-Flug nun besser wäre als ein AB-Flug. Zumindest in der Economy ist es ziemlich egal. Bei Air Berlin kommst Du mit den XL-Seats sogar noch extrem günstig an mehr Beinfreiheit.
 
Hacker müsste man sein.
Kommentar abgeben Netiquette beachten!