Erpressung per Knopfdruck: Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Preisschilder ("ESL-Tags") sind immer häufiger in Supermärkten anzutreffen. Dank moderner Technik können Preise damit einfach und ohne Aufwand vom Backoffice aus angepasst werden. Kein Wunder also, dass die Prognose für die Marktentwicklung bis 2032 exponentiell nach oben geht.

Nicht nur im Supermarkt erfreuen sich die effizienten Beschriftungslösungen steigender Beliebtheit. Die Schilder finden sich auch in Krankenhauslagern und Gerichtsarchiven, wo sie beispielsweise zur Sortierung verwendet werden. In einem umfangreichen Test hat das SEC Consult Vulnerability Lab ein Preisschild mit einem bis dato unbekannten Mikrocontroller (MCU) analysiert. Dabei gelang es, Debug-Zugang zum Controller zu bekommen und das proprietäre 433 MHz Funkprotokoll zu reverse engineeren. Das Ziel war hierbei das SUNY ESL Ökosystem, das vor allem im asiatischen Raum stark verbreitet ist, aber auch in Europa und in den USA zum Einsatz kommt. Mangels Authentifizierung in der ESL-Tag-Kommunikation, gelang es unserem Hardware-Security Spezialisten Steffen Robertz, beliebigen Inhalt auf den Preisschildern anzuzeigen. Die Vorgehensweise und Ergebnisse wurden von ihm bereits auf mehreren Konferenzen wie z.B. Hardwear.io USA 2022, Australian Cybersecurity Conference 2022 und BSides Vienna 2022 vorgestellt. Weiters wird der Vortrag auf der heurigen Thotcon Konferenz in den USA abgehalten. 

Kurzfassung

ESL ist eine Abkürzung für Electronic Shelf Label (= Digitales Preisschild). Digitale Preisschilder bestehen üblicherweise aus einem E-Ink Display, einer Batterie und einer Form der drahtlosen Datenübertragung (z.B. Bluetooth LE oder proprietäre Funkprotokolle). Marktanalysen sehen ESL-Tags als große Neuerung im Einzelhandel, weil dadurch Preise sehr einfach und schnell geändert werden können. Zudem kann das Preisschild genutzt werden, um z.B. mit blinkenden Lichtern die Kundenaufmerksamkeit auf spezielle Produkte zu lenken. Mehrere Marktanalysen prognostizieren eine Wachstumsrate von über 600% in den nächsten 10 Jahren. 

 

Durch die steigende Verbreitung werden digitale Preisschilder leider auch ein attraktiveres Ziel für Hacker. Ein mögliches Szenario wäre das Stören bzw. Blockieren einer kompletten Supermarktfiliale, indem der Angreifer alle Preise der Schilder löscht, bis das geforderte Lösegeld gezahlt wird. Aber auch Kunden könnten z.B. über Phishing angegriffen werden. Hierzu müsste der Angreifer eine Phishing Website erstellen und Kunden mit einem großen Rabatt auf ein Produkt des Supermarktes locken, wenn der angezeigte QR-Code gescannt wird. Dieser QR-Code ist allerdings manipuliert und wird vom Angreifer auf dem jeweiligen Preisschild aus der Ferne eingespielt. Viele Menschen würden den Code scannen, ohne darüber nachzudenken, weil es sich ja offensichtlich um ein offizielles Preisschild des Supermarktes handelt. 

Außerdem konnten wir noch andere, industrielle Anwendungsfälle von digitalen Preisschildern identifizieren. Beispielsweise verkauft SUNY eine leicht modifizierte Version der Preisschilder an Industrieabnehmer, aber alle Schwachstellen sind gleichermaßen vorhanden. Die industrielle Version wird z.B. in Lagerräumen von Krankenhäusern, Stromnetzbetreibern und Gerichtsarchiven verwendet. Dadurch ergeben sich interessante Angriffsszenarien. Eine Möglichkeit wäre z.B. die Destabilisierung der Stromversorgung, indem die Ersatzteile im Lager mit falschen Teilenummern und Leistungsdaten angezeigt werden. In Krankenhäusern könnten z.B. die angezeigten Dosis-Stärken von Medikamenten geändert werden. Falls ein Arzt bei der Verabreichung nicht noch zusätzlich die Packung überprüft, werden falsche Dosen abgegeben. Während unserer Online-Recherche fanden wir außerdem ein Bild, auf welchem chinesische Gerichtsakten mit den elektronischen Schildern organisiert wurden. Hier könnten Verhandlungen verzögert oder sogar vollständig abgebrochen werden, wenn die korrekten Dokumente nicht mehr an den beschilderten Orten auffindbar sind.  

Während dieser Schwachstellen-Analyse konnte das Team des SEC Consult Vulnerability Lab eine unbekannte MCU identifizieren und sich Debug-Zugriff verschaffen. Es wurde mittels Replay-Angriff essentielle Fehler im Protokoll identifiziert, was ein Reverse-Engineering des proprietären Protokolls erlaubte. So konnten wir beliebige Inhalte senden und empfangen. Die Verwendung proprietärer HF-Protokolle stellt keine sichere Lösung dar. Vielmehr geht es nur um den Aufwand und die Anzahl der Geräte, die zur Analyse der Tags erforderlich sind. Letztlich stellte sich heraus, dass sogar ein C1101 RF-Transceiver um 2 USD, wie der Flipper Zeros, ausgereicht hätte.

Wir würden uns freuen, wenn viel mehr Cybersicherheitsspezialisten sich in Zukunft auf die Analyse proprietärer Protokolle auf HF-Schnittstellen konzentrieren würden. Immer mehr Geräte bieten smarte Fähigkeiten und sind miteinander vernetzt. Es gibt noch jede Menge anfälliger „Alltagsgeräte“ zu entdecken!

 

Weitere Informationen

Das technische Security Advisory mit näheren Informationen zu den identifizierten Sicherheitslücken kann hier (Englisch) abgerufen werden. 

Der englische Blog Post zu diesem Thema enthält zudem noch weiterführende Erklärungen anhand von Bildern und Grafiken. 

 

FAQ – Häufige Fragen zum Thema

Alle Branchen, die eine elektronische Kennzeichnung z.B. für Preise, Archive oder sonstige Zwecke einsetzen, sind potenziell von der Problematik betroffen. 

Gemäß deutschem Verbraucherrecht bzw. Preisauszeichnungsgesetz, kommt der Kaufvertrag erst an der Kasse zustande. Das bedeutet, wenn am Regal ein anderer (höherer oder niedrigerer) Preis angeschrieben ist, gilt dennoch der in der Kasse gespeicherte Preis. Anders verhält es sich allerdings mit Preisen bzw. Preisschildern, die direkt an der Ware angebracht sind.  

Mehr Informationen dazu: https://www.test.de/Verwachsenerrecht-Regal-oder-Kasse-whicher-Preis-gilt-5115345-0/  

Elektronische Etiketten werden vielerorts eingesetzt, leider können wir keine detaillierte Liste zur Verfügung stellen. 

Einige der Angriffsszenarien sind z.B. Phishing (z.B. mit QR-Codes), Erpressung (z.B. Lösegeldforderung), Behinderung von Gerichtsverfahren (z.B. durch Chaos im Archiv). 

Ja, auch kritische Infrastruktur ist betroffen, sofern ESL mit unsicherer Technologie zum Einsatz kommen. 

Ja. Es handelt sich zwar um ein Produkt eines chinesischen Herstellers, doch sind die ESL nachweislich auch in Europa im Einsatz. 

Die Vorgaben können je nach Land stark variieren. In Australien gibt es beispielsweise ein etwas anderes Recht im Bereich Preisauszeichnung als in Europa. Bei falschen Preisen in Woolworth Märkten gibt es einen freiwilligen “Code of Practice for Computerised Checkout Systems”. Dieser Kodex legt bestimmte Verfahren fest, die ein Geschäft im Falle falsch bepreister Artikel befolgen muss. Wenn ein Kunde beispielsweise einen Artikel bei Woolworths zu einem höheren Preis als dem im Regal angegebenen Preis scannt, hat der Kunde Anspruch darauf, den Artikel kostenlos zu erhalten (vorausgesetzt, die Suchnummer ist korrekt). 

Wichtig: Wir können keine rechtliche Beratung leisten, wenden Sie sich hierzu bitte an regionale Ansprechpartner in Ihrer Umgebung. 

Die durch uns analysierten 433 MHz Funk-Protokolle können über große Distanzen übertragen werden. Mit Standardhardware sind bereits bis zu 300m Entfernung möglich. Durch spezialisierte Hardware sind aber auch größere Distanzen möglich.  

ESL sind nicht per se unsicher. Die getesteten ESL setzen allerdings auf ein unsicheres Protokoll, das keinerlei Sicherheitsvorkehrungen hat. Somit ist Zugriff in Klartext mit relativ wenig Aufwand möglich. Ebenso deren Manipulation. 

Nein, nicht in diesem Fall. Für das untersuchte Etikett gibt es keinen uns bekannten Updatemechanismus, um die fehlenden Sicherheitsroutinen (z.B. Verschlüsselung, Public / Private Key) zu ergänzen. Der Hersteller hat auch auf unsere Kontaktanfragen nicht reagiert. Somit bleibt im schlimmsten Fall nur ein Produktwechsel. 

Wird ein proprietäres Protokoll genutzt, gibt es leider keine automatischen Tests. Bei Standardprotokollen kennt man Schwachstellen und weiß, wie man testen kann. Ein umfangreicher Pentest - idealerweise vor der Beschaffung - wäre notwendig. 

Oft lässt sich vorab schwer feststellen, ob ein Produkt tatsächlich sicher implementiert ist. Achten Sie daher bei den Vereinbarungen vor Kaufabschluss darauf, ein gesondertes Rücktrittsrecht samt Entschädigung zu vereinbaren, sofern das Produkt nach einem Test nicht den notwendigen Sicherheitsanforderungen entspricht.  

Ein proprietäres Protokoll bedeutet Aufwand. In anderen Branchen, wo Steuergeräte und Sensoren zum Einsatz kommen (z.B. bei Autoherstellern), ist es Gang und Gebe diese vorab einer entsprechenden Sicherheitsüberprüfung zu unterziehen. Ein solcher IoT Embedded Pentest kann je nach Spezialgebiet und Scope des Tests einen Umfang von zweistelligen Personentagen umfassen. Ist der Hersteller kooperativ und stellt Datenblätter zur Verfügung, kann das den Test deutlich beschleunigen (weil dann kein Reverse Engineering nötig ist). 

Sofern nicht explizit vereinbart, müssen Sie als Käufer/in die Kosten übernehmen.  

Informieren Sie sich vorab beim Hersteller. Zeigt sich dieser kooperativ und stellt Datenblätter zur Verfügung, können Sie das Risiko besser abschätzen. Andernfalls bleibt nur das Trial & Error Prinzip. 

Wir empfehlen, vorab einen Test mit Requirements inkl. Rücktrittsrecht und Entschädigung zu vereinbaren, die vom Hersteller erfüllt werden müssen.  Weitere Informationen zur Richtlinie finden Sie hier: https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act  oder wenden Sie sich an einen unserer SEC Consult Experten.