Gravierende Sicherheitslücke an Flughäfen aufgedeckt
Die bekannten Sicherheitsforscher Ian Carroll und Sam Curry haben gravierende Schwachstellen im FlyCASS-System aufgedeckt. Dabei handelt es sich um ein webbasiertes Verwaltungssystem, das von kleineren Fluggesellschaften zur Verwaltung des Known Crewmember (KCM) und des Access Security System (CASS) genutzt wird.
Das KCM-Programm ermöglicht es berechtigtem Flugpersonal, reguläre Sicherheitskontrollen an Flughäfen zu umgehen, während CASS den Zugang zum Cockpit von Flugzeugen regelt. Die von den Forschern entdeckte Schwachstelle erlaubt es Hackern, sich durch eine sogenannte SQL-Injection-Attacke als Administratoren anzumelden, wodurch jede beliebige Person als KCM hinzugefügt oder im CASS registriert werden kann. In der Praxis könnten unautorisierte Personen dadurch Sicherheitskontrollen umgehen und sogar ins Cockpit eines Flugzeugs gelangen. Das FlyCASS wird hauptsächlich von US-amerikanischen Fluggesellschaften genutzt. Ob auch deutsche Fluggesellschaften betroffen sind, ist unklar.
FlyCASS mittlerweile abgeschaltet
Nach ihrer alarmierenden Entdeckung informierten Carroll und Curry das US-Heimatschutzministerium (DHS). Das war bereits am 24. April 2024. Einen Tag später bestätigte das Ministerium, nach einer Lösung zu suchen. Die Abschaltung von FlyCASS erfolgte am 5. Juli 2024. Die Sicherheitslücke bestand also noch mehr als zwei Monate, nachdem das DHS darüber in Kenntnis gesetzt wurde.