Een beveiligingsonderzoeker heeft meerdere lekken in de scanners en apparatuur ontdekt die op Amerikaanse luchthavens worden toegepast, zoals backdoor-accounts en vaste wachtwoorden. Dat liet onderzoeker Billy Rios vorige week tijdens de Black Hat conferentie in Las Vegas weten.

Rios onderzocht drie apparaten, een röntgenscanner die wordt gebruikt voor het scannen van de handbagage van passagiers, een prikkloksysteem en een "trace detection scanner" voor het opsporen van verboden of gevaarlijke stoffen. Ook keek hij naar de software die de Transport Security Administration (TSA) gebruikt om het eigen personeel te testen. De röntgenscanner bleek meerdere kwetsbaarheden te bevatten, waaronder een authenticatieprobleem. "Zelfs als je niet het juiste wachtwoord weet, kun je nog steeds toegang tot het apparaat krijgen", zo laat de onderzoeker tegenover eWeek weten. "Als je toegang tot het apparaat hebt, kun je ook de wachtwoorden van andere gebruikers achterhalen."

Het prikkloksysteem dat de TSA gebruikt voor het bijhouden van de uren van het personeel bleek over twee backdoor-accounts te beschikken waarmee technici op afstand de apparatuur kunnen onderhouden. Een aanvaller die inloggegevens weet kan echter ook inloggen. Rios ontdekte 6.000 van dit soort systemen op het internet, maar slechts twee waren er van Amerikaanse luchthavens en zijn inmiddels offline gehaald. Een aanvaller die toegang tot de systemen weet te krijgen zou zo verder het netwerk kunnen verkennen.

Een ander detail is dat de apparatuur een in China gemaakt moederbord blijkt te gebruiken. Eerder weigerde de TSA nog de aankoop van een bepaald model röntgenscanner omdat die een in China gemaakte lamp gebruikte. Ook bij de trace detection scanner werd een aantal accounts met vaste wachtwoorden gevonden die voor onderhoudspersoneel bedoeld waren. Met de wachtwoorden zou het mogelijk zijn om de apparatuur over te nemen. "Aangezien het apparaat drugs en explosieven moet vinden, zou je ervoor kunnen zorgen dat het die niet detecteert."

Testsoftware

Verder waarschuwde de onderzoeker ook voor de software waarmee de TSA het personeel test. Deze software "injecteert" een dreiging in de bagage van passagiers op het scherm. "Dat is waarom je willekeurig op een luchthaven wordt gescreend", merkte Rios op, zo laat SC Magazine weten. Bij de controle wordt echter niets gevonden, omdat het wapen zich alleen op het scherm bevond. Op deze manier wil de TSA de detectievaardigheden van het personeel testen. Als de software, die volgens Rios zeer gebrekkig is, ervoor zorgt dat het scherm kan worden aangepast, het ook door mensen met kwade bedoelingen kan worden gebruikt.

De onderzoeker wil met zijn onderzoek vooral laten zien dat de TSA niet precies alles weet van de software die het gebruikt. "Gegeven dat deze apparaten in een beveiligingsgevoelig gebied worden gebruikt, zouden ze moeten weten of er geen voor de hand liggende lekken aanwezig zijn." Alle door Rios gevonden problemen zouden zes maanden geleden al aan het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid zijn gemeld.