Etwas JavaScript öffnet die Tür zu Luxus-Lounges auf Flughäfen
Auf der Hacker-Konferenz DefCon demonstrierte Przemek Jaroszewski, der das polnische Computer Emergency Response Team (CERT) leitet, dass es lediglich einer einfachen, selbst geschriebenen App bedarf, um sich Zutritt zu verschaffen. Dass diese funktioniert, zeigt auch ein Video, das Jaroszewski in Istanbul aufgenommen hat.
Wie der Sicherheitsexperte ausführte, habe er seine App auch auf diversen anderen europäischen Flughäfen getestet, wo sie auch überall funktionierte. Für andere Regionen konnte er allerdings keine Versuche vorweisen. Hier müssen andere einspringen. Den Code für seine App veröffentlichte er zwar nicht, doch soll es einem Hacker, der einigermaßen Ahnung von QR-Codes und Zugangssystemen hat, ein Einfaches sein, selbst entsprechende Fakes zu produzieren.
Gratis-Massagen mit etwas JavaScript
Den Kern seiner Anwendung sollen lediglich rund 500 Zeilen JavaScript-Code bilden. Diesem müssen lediglich einige halbwegs valide Informationen zum Flug mitgeteilt werden, die sich im Flughafen leicht von den öffentlich verfügbaren Informationen auf Anzeigetafeln ablesen lassen. Eine individuelle Boarding-Nummer oder gar ein Name wird nicht benötigt.Jaroszewski testete seine Fake-Codes nach eigenen Angaben vorsichtshalber aber nur dann, wenn er ohnehin eine Zugangsberechtigung für die Lounge hatte. Mit einer Ausnahme: Einmal habe er einen Bekannten, der sonst hätte im Bereich für die normalen Passagiere warten müssen, mit einem gefälschten Code mit in die Lounge geschleust. Da die Zugänge ohnehin hinter den Sicherheitskontrollen zu finden sind, ist die ganze Sache kein ernsthaftes Problem für die Airport-Security - aber man kann zumindest gratis etwas Luxus abstauben. Bei der Turkish Airlines in Istanbul gibt es beispielsweise ein Kino, eine kleine Golf-Anlage, eine Bäckerei und kostenlose Massagen.
Allerdings zeigt der Fall, dass entsprechende Zugangssysteme vielleicht auch in anderen Bereichen nicht so sicher sind, wie oft angenommen wird. Das Beispiel des Polen dürfte sicherlich andere Hacker zu eigenen Tests herausfordern, von denen man dann auf kommenden Konferenzen erfahren kann.
Verwandte Videos
Verwandte Tags