In Tausenden von Hotels weltweit installierte Selbstbedienungsterminals von Ariane Systems sind aufgrund einer Schwachstelle im Kioskmodus anfällig für den unbefugten Zugriff auf persönliche Daten der Gäste sowie auf Zimmerschlüssel.
Die Terminals ermöglichen es den Gästen, selbstständig einzuchecken, Zahlungen über ein POS-Subsystem abzuwickeln, Rechnungen zu drucken und RFID-Transponder als Zimmerschlüssel zu programmieren.
Im März entdeckte der Sicherheitsforscher Martin Schobert von Pentagrid, dass er den Kioskmodus des Ariane Allegro Scenario Players auf einem Selbstbedienungsterminal in dem Hotel, in dem er übernachtete, leicht umgehen und so auf den darunterliegenden Windows-Desktop mit allen Kundendetails zugreifen konnte.
Trotz mehrfacher Versuche, den Hersteller zu informieren, hat der Forscher noch keine angemessene Rückmeldung über eine Firmware-Version erhalten, die das Problem behebt.
Einfache Umgehung der Sicherheitsmaßnahmen
Schobert stellte fest, dass die Anwendung hängen bleibt, wenn auf dem Bildschirm zur Reservierungssuche ein einfaches Anführungszeichen eingegeben wird. Berührt man den Bildschirm erneut, bietet das darunterliegende Windows-Betriebssystem dem Benutzer die Möglichkeit, den Prozess der App zu beenden. Dies beendet den Ariane Allegro Scenario Player und gibt Zugriff auf den Desktop.
Von dort aus kann der Benutzer auf alle auf dem Gerät gespeicherten Dateien zugreifen, was von Reservierungseinträgen mit persönlich identifizierbaren Informationen (PII) bis zu Rechnungen reichen kann.
Potenzielle Risiken und Lösungsansätze
„Mit Zugang zum Windows-Desktop könnten Angriffe auf das Hotelnetzwerk möglich werden sowie Zugriff auf Daten, die auf dem Terminal gespeichert sind, einschließlich PII, Reservierungen und Rechnungen“, erklärt der Bericht von Pentagrid.
Es scheint möglich zu sein, Programmcodes einzuschleusen und auszuführen, um Zimmerschlüssel für andere Zimmer zu erstellen, da die Funktionalität zur Bereitstellung von RFID-Transpondern im Terminal implementiert ist.
Die betroffenen Terminals werden typischerweise in kleinen bis mittelgroßen Einrichtungen verwendet, wo der Einsatz von Check-in-Personal rund um die Uhr zu kostspielig wäre.
Laut Ariane Systems werden deren Selbstbedienungslösungen derzeit von 3.000 Hotels in 25 Ländern mit insgesamt über 500.000 Zimmern genutzt. Zu ihren Kunden zählt ein Drittel der weltweit führenden 100 Hotelketten.
Schobert versuchte seit der Entdeckung des Problems im März mehrmals, seine Erkenntnisse mit Ariane zu teilen, erhielt jedoch nur eine kurze Antwort, dass die Probleme behoben seien.
Derzeit ist unbekannt, welche Version der Anwendung das Problem behebt, wie viele Terminals eine anfällige Version verwenden und welche Hotelketten betroffen sind.
Hotelbetreiber, die Terminals von Ariane Systems verwenden, wird empfohlen, die Selbstbedienungsmaschinen vom Hotelnetzwerk und anderen kritischen Systemen zu isolieren und den Hersteller zu kontaktieren, um zu klären, ob sie eine sichere Version verwenden.