SirenJack: Öffentliche Notfallalarmsystem anfällig für Fehlalarme

SirenJack: Öffentliche Notfallalarmsystem anfällig für Fehlalarme

(Bild: Pixabay )

In Notfallalarmsystemen von ATI Systems klafft eine Schwachstelle – Abhilfe ist in Sicht. Die Systeme kommen unter anderem in Atomkraftwerken und militärischen Einrichtungen zum Einsatz.

Hacker könnten öffentliche Notfallalarmsystemen des Herstellers ATI Systems zum Teil übernehmen und beispielsweise Fehlalarme auslösen. Das haben Sicherheitsforscher von Bastille entdeckt. Ihre Ergebnisse stellen sie auf der Webseite zur SirenJack getauften Schwachstelle vor. Dort kann man auch prüfen, welche Systeme betroffen sind.

Der Missbrauch ist möglich, da die Systeme mit einem unverschlüsselten Funkprotokoll arbeiten. So könnte ein Hacker mit einem vergleichsweise günstigen Funksender für rund 30 US-Dollar und einem Computer in die Kommunikation einsteigen und Aktivierungsbefehle absetzen.

ATI-Systems-Alarmsysteme kommen weltweit zum Einsatz – beispielsweise in Atomkraftwerken, Öl-Raffinerien und militärischen Einrichtungen. Geschieht dort ein Unglück, sollen die Systeme die umliegende Bevölkerung warnen. Ein Fehlalarm könnte fatale Folgen nach sich ziehen.

Vor einem Jahr kam es in Dallas zu einem von Hackern ausgelösten Fehlalarm im lokalen Notfallsystem. Dabei ertönten in einem Zeitfenster von fast zwei Stunden alle 156 Alarmsirenen der Stadt etwa 15 Mal für jeweils 90 Sekunden. Das verunsicherte die Bürger und führte zu Tausenden Anrufen bei der Polizei.

[youtube https://www.youtube.com/watch?v=YdnTBOBGjiA?wmode=transparent&w=480&h=295]
Rickrolling statt Sirenenton: Im Proof-of-Concept-Video spielt der Sicherheitsforscher Balint Seeber den Song “Never Gonna Give You Up” von Rick Astley über die Sirenen ab.

Mittlerweile hat sich ATI Systems um die Problematik gekümmert und will nach Tests zeitnah Sicherheitspatches zur Verfügung stellen. Wer Alarmsysteme des Herstellers nutzt, muss sich mit ATI Systems in Verbindung setzen, da die Entwickler Updates individuell auf einzelne Alarmsysteme anpassen müssen.

Ob auch Notfallalarmsysteme von anderen Herstellern von SirenJack betroffen sind, ist derzeit nicht bekannt.
(des)

Integriert von Heise Security – www.heisec.de