Burger-King-Hack: Audioüberwachung an Drive-throughs durch Umgehung der Authentifizierung möglich

 (bobdahacker.com)
1 Punkte von GN⁺ 2025-09-07 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Sicherheitsforschungsteam entdeckte in den Drive-through-Systemen von Burger King eine Schwachstelle zur Umgehung der Authentifizierung
  • Durch diese Schwachstelle wurde die Möglichkeit eines unbefugten Zugriffs auf Drive-through-Audiostreams bestätigt
  • Unzureichende interne Kontrollen schufen ein Umfeld, in dem Echtzeitüberwachung möglich war
  • Angreifer konnten ohne besondere Komplexität direkt Sprachdaten sammeln
  • Der Vorfall lenkt erneut die Aufmerksamkeit auf die Bedeutung der Sicherheit von IT-Infrastrukturen in der Gastronomie

Überblick über den Vorfall

  • Ein Sicherheitsforschungsteam nutzte eine Schwachstelle zur Umgehung der Authentifizierung im Burger-King-Drive-through-Audiosystem aus
  • Durch diese Schwachstelle konnten externe Personen ohne zusätzliche Authentifizierung auf den Audiostream des Systems zugreifen

Angriffsweg

  • Ursache waren fehlende HTTP-Authentifizierung oder eine schwache Authentifizierungsrichtlinie in der Weboberfläche
  • Die Angreifer bestätigten, dass bei Kenntnis der IP-Adresse des Systems ein direkter Zugriff auf Audiodaten möglich war

Auswirkungen und Risiken

  • Durch diese Schwachstelle entstand das Risiko eines Datenschutzvorfalls, etwa durch die Echtzeitüberwachung von Kundengesprächen
  • Externe Angreifer konnten Betriebsabläufe und Kundendaten eines Standorts leicht entwenden

Erkenntnisse

  • Der Vorfall offenbart Probleme beim Management von IoT-Geräten und Netzwerken in Gastronomie und Einzelhandel
  • Der Bedarf an starken Authentifizierungssystemen und regelmäßigen Sicherheitsprüfungen nimmt zu

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-07
Hacker-News-Kommentare

  • Der Blog ist derzeit nicht erreichbar; stattdessen wird ein Web-Archive-Link geteilt.

  • Wenn man sich die Nachgeschichte des Beitrags ansieht, scheint dieser Sicherheitsforscher trotz Einhaltung der Regeln für verantwortungsvolle Offenlegung und trotz Veröffentlichung erst nach Behebung der Schwachstelle keinerlei Antwort vom Unternehmen erhalten zu haben. Es gilt also zwar die Annahme, dass es nur bei vorheriger Vereinbarung eine Belohnung gibt, aber hier schien dennoch eine Vergütung erwartet worden zu sein, und am Ende kam nichts mehr. Ich selbst habe einmal bei einem bekannten Startup eine sensible Sicherheitslücke entdeckt und sie nach offiziellem Verfahren in mehreren E-Mails ausführlich gemeldet, erhielt aber nur eine HackerOne-Einladung; frühere Prämien lagen dort bei rund $2,000, während ich meinen Fund eher in der Größenordnung von $10,000 bis $50,000 sah. Für den verlangten formalen Bericht hatte ich damals keine Zeit, und für $2,000 war es mir den Aufwand nicht wert. Ich frage mich, ob ich in so einem Fall auch einen öffentlichen Blogpost schreiben dürfte.

    • Tatsächlich gab es Kontakt vom Unternehmen, aber gegen den Beitrag wurde eine DMCA-Meldung (Digital Millennium Copyright Act) eingereicht. Selbst wenn man sich die Screenshots der E-Mails ansieht, ist unklar, aus welchem Grund hier ein DMCA-Verstoß vorliegen soll; es wirkt wie ein typischer Fall von DMCA-Missbrauch. Das Unternehmen, das diese KI-basierte DMCA-Anfrage erstellt hat, wurde sogar von Y Combinator finanziert. Referenz
    • Genau genommen sollte man statt „verantwortungsvolle Offenlegung“ eher von „coordinated disclosure“ sprechen, weil das Wort „verantwortungsvoll“ dazu neigt, bestimmte Verhaltensweisen moralisch höher erscheinen zu lassen.
    • Ohne starke Regulierung und Durchsetzung wird so etwas nicht enden. Im Moment ist es für Unternehmen letztlich die Wahl zwischen dem Zahlen einer Bug Bounty jetzt oder dem Tragen eines größeren Risikos durch spätere Klagen oder PR-Probleme. Aus Unternehmenssicht ist das eine Abwägung zwischen sofort sicheren Ausgaben und einem ungewissen zukünftigen Risiko, wobei meist die billigere Option gewählt wird. Wenn es künftig bei Sicherheitsvorfällen massive Strafen als reale Drohung gäbe — etwa statt einer $100,000-Bounty eine Geldbuße von $10 Millionen — und wenn sogar ein CEO wissen müsste, dass er im Fall nachgewiesener Ignoranz gegenüber solchen Berichten seinen privaten Besitz riskieren könnte, dann würde man die Bounty eher auszahlen. Die Last des Risikos muss auf die Anbieter verlagert werden.
    • Wenn man so etwas öffentlich macht, können Kommentare oder Medienüberschriften direkter oder spöttischer formuliert werden und sich weiter verbreiten; wenn gerade sonst keine große Nachricht läuft, kann so etwas landesweit viral gehen. Die Geschichte „keine Belohnung bekommen“ ist etwas, womit sich fast jeder identifizieren kann, daher ist das aus PR-Sicht eine schlechte Entscheidung.
    • Wenn das Ziel ist, Unternehmen dazu zu bringen, angemessene Bounties zu zahlen, dann halte ich eine öffentliche Veröffentlichung für ethisch vertretbar.

  • Ich habe gehört, dass der Beitrag entfernt wurde, weil bei Cloudflare ein DMCA-Claim einging. Soweit ich weiß, gibt es beim DMCA mehrere Ebenen; ich verstehe, wie das über Hosting-Anbieter läuft, aber wenn ich ohne Cloudflare selbst hosten würde, was würde dann passieren? Mich interessiert noch mehr, ob ein DMCA dann an meinen ISP oder an die Domain-Seite gehen würde.

    • Ich hatte mich gefragt, warum man sich so sicher ist, dass es am DMCA lag, aber nach Sichtung des zugehörigen Posts ist es nachvollziehbar.
    • Normalerweise wird ein DMCA an den ISP weitergeleitet. Je nach ISP wird das dann an den Nutzer weitergegeben oder auch nicht. Früher, in der Zeit, als Leute Filme per Torrent heruntergeladen haben, war das viel verbreiteter, weil Filmfirmen wahllos DMCA-Meldungen verschickt haben.
    • 2008–2009 habe ich bei SoftLayer in Dallas, Texas mehrere Bare-Metal-Server betrieben, und ein Kunde davon war ein südamerikanisches Musikforum. Wenn dort jemand eine MP3 hochgeladen hat, hat das Rechenzentrum nach Eingang einer DMCA-Anfrage sofort das Traffic-Routing zu dem Server gesperrt. Ich will mir gar nicht ausmalen, welche Tools es bis 2025 noch geben wird.

  • Ich frage mich, ob die Aufzeichnung von Gesprächen am Drive-through ohne gesonderten Hinweis auf die Aufnahme nicht ein Fall wäre, den Anwälte in sogenannten „Two-Party-Consent States“ spannend fänden. Natürlich könnte man argumentieren, dass bei lautem Sprechen in der Öffentlichkeit keine berechtigte Privatsphäreerwartung besteht, aber ich halte es trotzdem für ein rechtliches Risiko.

    • An öffentlichen Orten ist das Aufzeichnen in der Regel auch ohne Einwilligung legal. Wenn es sich um einen Ort handelt, den die Allgemeinheit betreten oder befahren kann, wie ein Drive-through, kann dort ohne gesonderte Erlaubnis oder Hinweis aufgenommen werden. Allerdings habe ich gelernt, dass einige Bundesstaaten selbst Aufnahmen an öffentlichen Orten verbieten. Diese Gesetze wurden vom Supreme Court der USA bislang weder bestätigt noch aufgehoben.
    • Ich frage mich, ob in der Öffentlichkeit trotzdem in jedem Fall die Zustimmung beider Seiten erforderlich ist.

  • Am erstaunlichsten finde ich, dass es überhaupt ein System gibt, das sogar festlegt, wie man im Drive-through sprechen soll. Es erzwingt einen positiven Ton und motivierende Floskeln wie „You rule“, aber aus Sicht der Beschäftigten kann man unmöglich die ganze Zeit so reden. In der Realität sind Kundinnen und Kunden oft schon zufrieden, wenn wenigstens ein Teil der bestellten Sachen korrekt im Beutel landet. Außerdem ist die Qualität dieser Audiosysteme meist so schlecht, dass man „You rule“ ohnehin kaum heraushört. Ich verstehe nicht, warum man Leute, die für $6 pro Stunde Burger wenden, mit solcher Software auch noch micromanagen muss.

    • Ironischerweise gilt oft: Je schlechter ein Job bezahlt ist, desto pingeliger und strenger sind die Vorgesetzten. Wenn man zum Beispiel als Entwickler über $100,000 im Jahr verdient und remote arbeitet, ist es völlig unproblematisch, krankheitsbedingt eine Woche auszufallen; bei einem stundenweise bezahlten Callcenter-Job hingegen droht sofort eine Abmahnung, wenn man nicht 48 Stunden vorher Bescheid sagt. Und wenn man bereits verwarnt ist, gibt es nicht einmal Lohnfortzahlung im Krankheitsfall. Ohne Attest droht sogar die Kündigung.
      1. Tatsächlich ist am Burgerwenden an sich überhaupt nichts schlecht. 2) Im Kern ist das hier ein System, in dem Niedriglohnkräfte solche Aufgaben an noch schlechter bezahlte Arbeitskräfte weiterreichen. Ein gewisses Maß an Nachsicht wäre angebracht.

  • Vor über 40 Jahren entdeckte in L.A. jemand, dass ein Burger-King-Drive-up-Kiosk per RF-Funkverbindung mit dem Restaurant verbunden war. Man fand Frequenz und Modulationsart heraus und konnte mit einem Handfunkgerät dieselbe Kommunikation führen. Auf einem nahegelegenen Parkplatz wurde ein Camcorder aufgebaut, und es entstanden Spaßvideos, in denen Drive-through-Kunden hereingelegt wurden; daraus wurde ein Video mit dem Titel „Attack on a Burger King“. Die Beteiligten waren Rundfunkingenieure, und das Video wurde damals sogar innerhalb von Studios weitergereicht. Am Ende kommt ein Mitarbeiter heraus und rennt in Richtung der Kunden, während die Hacker den Kunden scherzhaft zurufen, sie sollten wegrennen. Ich weiß nicht, ob dieses Video es je ins Streaming geschafft hat.

    • Früher nutzten die meisten Headsets in Fast-Food-Drive-throughs das VHF-Business-Band. Eine Gruppe namens „Phone Losers of America“ war für solche Streiche bekannt. Passendes YouTube-Video „I'm in the freezer at QuikTrip!“

  • Die sarkastische Bemerkung „Sie haben das Passwort im Klartext per E-Mail verschickt. Und das im Jahr 2025. Fast schon beeindruckend, wie beharrlich man bei schlechter Sicherheit bleibt“ machte das Ganze noch unterhaltsamer.

  • Wenn ich pedantisch sein will: Falls man direkt nach dem Login zum Ändern des Passworts gezwungen wird, ist es meiner Meinung nach nicht zwingend ein Problem, ein temporäres Passwort im Klartext per E-Mail zu verschicken.

  • Wie erwartet ist auch der Blog offline; eine gesicherte Version ist über den archive.is-Link abrufbar.

  • Uff, das ist wirklich ein übles Beispiel. Ziemlich gravierend, aber solche Fehler passieren selbst in Großunternehmen weiterhin häufig. Ich bin sicher, dass es Dutzende weitere Konzerne gibt, die genau solche Fehler immer wieder machen.