Lücke mit Tücke
Statista zufolge hoben 2023 weltweit 38 Millionen Flugzeuge ab.
Foto: iStock.com/Nikada
Nach dem 11. September 2001 wurden die Sicherheitsvorkehrungen an Flughäfen immer strenger. Zwei Hackern gelang es nun aber, die Sicherheitskontrolle zu umgehen und sich sogar Zugriff zum Flugzeug-Cockpit zu verschaffen.
Nicht selten kommt es an Flughäfen am Check-in-Schalter oder bei der Sicherheitskontrolle zu langen Warteschlangen. Reisende sollten deshalb immer genügend Zeit einplanen. Dank des Known-Crewmember-Programms (KCM), bei dem 77 Airlines mitmachen, hat das Bordpersonal in den USA die Möglichkeit, Sicherheitskontrollen zu umgehen und somit eine Menge Zeit einzusparen. Das Besondere: Selbst bei privaten Inlandsflügen müssen sich Flugbegleitende sowie Pilotinnen und Piloten keinerlei Checks unterziehen. Ein ähnliches Sicherheitssystem gibt es beim Zugriff auf die Cockpits in den Maschinen. Wie aus einem Medienbericht hervorgeht, fiel den Hackern Ian Caroll und Sam Curry nun auf, dass diese Systeme überraschend leicht zu hacken sind.
Leichter Schritt ins Cockpit
Caroll und Curry fanden heraus, dass sowohl das KCM-System für die Sicherheitskontrolle als auch das Cockpit-System mit einer Structured Queue Language-Injection umgehbar war. Dabei handelt es sich um eine Attacke, bei der die Datenbank manipuliert wird. So können Angreifende anschließend an sensible Informationen gelangen. Die Hacker konnten dank der Sicherheitslücke nicht nur auf die Datenspeicher mehrerer amerikanischer Airlines zugreifen, sondern sich auch problemlos an den Sicherheitskontrollen vorbeischummeln. Besonders beunruhigend: Sie hätten so sogar Zugriff auf die Cockpits der Flieger gehabt.
Viele offene Fragen
Das KCM-Programm kommt laut dem Medienbericht nur in den Vereinigten Staaten zum Einsatz. Deswegen bezieht sich das Problem ausschließlich auf die USA. Ob das Sicherheitsmanko auch bei internationalen Flügen oder in Deutschland für Schwierigkeiten gesorgt hätte, ist unbekannt. Das Hacker-Duo meldete die Ergebnisse an die Sicherheitsbehörden, hat aber trotzdem noch viele offene Fragen. So ignorierte das Department of Homeland Security Anfragen der beiden, nachdem die Lücke geschlossen wurde. Einem Blogbeitrag von Caroll zufolge gab auch die Pressestelle der Transportation Security Administration “gefährliche Erklärungen über die Sicherheitslücke” ab. Die beiden Hacker vermuten, dass sich eventuell weitere, noch nicht identifizierte Risiken im System verbergen.
0 Comments