Aktualisiert 10.08.2016 11:14

Kostenloser KomfortMit falscher Bordkarte in die Luxus-Lounge

Ein Hacker hat eine App entwickelt, mit der er QR-Codes einer Bordkarte generieren kann. So konnte er sich Zutritt zu Lounges an Flughäfen verschaffen.

von
swe
1 / 6
Mit einer selbstentwickelten App kann der Sicherheitsforscher Przemek Jaroszewski QR-Codes von Bordkarten generieren.

Mit einer selbstentwickelten App kann der Sicherheitsforscher Przemek Jaroszewski QR-Codes von Bordkarten generieren.

Youtube/PrzemekJaroszewski
Ohne entsprechendes Ticket und unter falschem Namen ...

Ohne entsprechendes Ticket und unter falschem Namen ...

Youtube/PrzemekJaroszewski
... kann er so in exklusive Flughafen-Lounges gelangen.

... kann er so in exklusive Flughafen-Lounges gelangen.

Youtube/PrzemekJaroszewski

Sich vor dem Abflug noch einen Drink oder eine Massage gönnen, duschen oder gar ein paar Bälle einlochen – die Lounges von Fluggesellschaften haben einiges zu bieten. Allerdings stehen diese Services nur Passagieren mit einer Karte für die oberen Klassen zur Verfügung.

Auch der polnische Sicherheitsforscher Przemek Jaroszewski hatte mit seiner Vielfliegerkarte Zugang zu diesen Einrichtungen. Als diese aber wegen eines Fehlers nicht funktionierte, nutzte er seine Fähigkeiten als Hacker. Er entwickelte kurzerhand eine App, die QR-Codes von Bordkarten generiert. Damit konnte er sich unter falschem Namen an verschiedenen europäischen Flughäfen Zugang zu einer Lounge verschaffen. Dies, weil einige Fluggesellschaften nur die Flugnummer und die Buchungsklasse überprüfen.

«Warnsignale ernst nehmen»

Bei seinem Experiment legte Jaroszewski aber Wert darauf, die Lounge nur zu benutzen, wenn er sowieso schon ein Ticket besass. Er flog auch nie unter falschem Namen, denn so hätte er sich strafbar gemacht. Nur ein einziges Mal half er einem Freund bei einem mehrstündigen Zwischenstopp in Istanbul, mit einem QR-Code in eine Lounge zu kommen.

Die App von Jaroszewski hat viel Missbrauchspotenzial: Sie könnte auch dazu genutzt werden, sich unerlaubt oder unter falschem Namen in die Abflughalle zu begeben. Laut IT-Sicherheitsexperte Marc Ruef müssen solche Warnsignale durchaus ernst genommen werden. Er empfiehlt: «Die QR-Codes sollten in einer Datenbank dokumentiert werden, um zu sehen, ob diese schon benutzt worden sind oder als Duplikat existieren.» Dies wäre in der heutigen Zeit einfach umsetzbar.

Ins Flugzeug einsteigen geht nicht

Auch wenn jemand mit einem gefälschten QR-Code sich unerlaubt Zutritt verschaffen würde, muss er dennoch die Sicheitskontrolle passieren. So käme man zwar in die Abflughalle, nicht aber an Bord eines Flugzeugs. Denn beim Boarding werden laut Michael Stief, Mediensprecher des Flughafens Zürich, die Angaben auf dem QR-Code mit den Passagierdaten des Fluges verglichen. Wenn jemand nicht auf der Passagierliste ist, würden die Mitarbeiter der Bodenabfertigung dies bemerken.

Jaroszewski hatte seine App an der Defcon-Sicherheitskonferenz in Las Vegas vorgestellt, veröffentlichen wird er diese aber nicht.

So einfach kommt Jaroszewski in die Lounge von Turkish Airlines (Quelle: Youtube/Przemek Jaroszewski)

Deine Meinung

Fehler gefunden?Jetzt melden.