Benjamin Kunz Mejri
Benjamin Kunz Mejri (* 6. Mai 1983) ist ein deutscher IT-Sicherheitsspezialist und Penetrationstester. Zu seinen Forschungsgebieten gehören Sicherheitslücken in Computersystemen, Bug Bounties, die Sicherheit von E-Payment Zahlungsdiensten und der Schutz der Privatsphäre. Mejri ist bekannt dafür, neue Sicherheitslücken aufzudecken und diese zu veröffentlichen.
Leben
Kunz Mejri wuchs in der Stadt Kassel in Hessen auf war von 2003 bis 2005 auf der Fachoberschule Kassel in der Fachrichtung Wirtschaftsinformatik. 2005 veröffentlichte er auf der Cebit in Hannover mit der Firma F-Secure zum ersten Mal einen Beitrag über eine SSL Zero-Day Sicherheitslücke in der Mozilla Firefox Browser Engine.
2005 eröffnete Kunz Mejri das erste Labor als Portal für Forscher zum Aufzeichnen von Bug-Bounty-Sicherheitslücken.[1] Das öffentliche Schwachstellen-Labor hat über 1.000 aktive Forscher aus dem internationalen Raum und listet über 2.000 eigens gemeldete Sicherheitslücken mit den technischen Details auf. Zusätzlich verfügt das Labor über Dokumente, Videos und Analysen aus dem Bereich IT-Sicherheit im Bezug auf Sicherheitslücken. Vulnerability Laboratory ist das erste international registrierte Schwachstellenportal für unabhängige Forscher im Bereich der IT-Sicherheit.
Kunz Mejri startete 2010 die Firma Evolution Security mit dem Entwickler Pim Campers aus den Niederlanden. Die Firma ist bekannt für manuelle Sicherheitsprüfungen und das Aufdecken von Hintertüren in Betriebssystemen, Hardware oder Software. 2014 änderte die Firma ihre Rechtsform und wurde offiziell eine GmbH mit Sitz im Technologiezentrum in Kassel-Wilhelmshöhe.
Veröffentlichte Sicherheitslücken
Flughafen-Sicherheit München, Köln/Bonn und Düsseldorf
Im Jahr 2012 meldete Kunz Mejri mehrere kritische Sicherheitslücken in der Infrastruktur deutscher Flughäfen. Die Sicherheitslücken erlaubten das Auslesen der SQL-Datenbankeinträge der Flughäfen Düsseldorf, Köln/Bonn und München. Betroffen waren auch verbundene Fluggesellschaften wie z. B. die deutsche Lufthansa oder Air Berlin. Nach der Veröffentlichung zweier Sicherheitslücken in Flughafen-Serviceseiten veränderte sich die digitale Sicherheitsarchitektur der betroffenen Firmen dauerhaft.[2]
Microsoft- und Skype-Account-System
2012 veröffentlichte Kunz Mejri vier kritische Sicherheitslücken in Microsoft über Skype, die es erlaubten, dass auf jeden Hotmail-, Live-, Xbox- und Skype-Account ohne Erlaubnis zugegriffen werden konnte. Seine Analyse mit Sicherheitsartikel floss in die Produktion der neuen Account-Systeme ein und verbesserte die Infrastruktur der Logins von Microsoft nachhaltig.[3][4]
Im Februar 2013 meldete Mejri eine kritische Sicherheitslücke in der Validierung der offiziellen Sharepoint Cloud Web-Applikation von Microsoft.[5] Anfang September 2013 untersuchten die Sicherheitsfirma Symantec und das SANS-Institut die neu nachgewiesene Sicherheitslücke in Sharepoint.[6] Im gleichen Jahr wurden von Mejri 16 bestätigte Sicherheitslücken in der Office 365 Cloud Software an das Microsoft Security Response Center eingereicht. Bis Ende des Jahres 2013 wurden alle gemeldeten Sicherheitslücken durch die Entwicklungs- und Sicherheitsabteilung von Microsoft geschlossen.
Ende Juli 2017 veröffentlichte Mejri in Kooperation mit dem Microsoft Security Response Center eine als kritisch eingestufte Sicherheitslücke in Skype. Durch einen Puffer-Überlauf bei der Übertragung der Zwischenablage mit dem Remote Desktop Protokoll (RDP) konnte die Sicherheitslücke von Angreifern aus der Ferne ausgenutzt werden. Betroffen waren die Skype-Windows-Software-Versionen 7.2, 7.35 und 7.36.[7][8][9]
Barracuda-Networks-Infrastruktur
2013 veröffentlichte Kunz Mejri außerdem über 40 Sicherheitslücken in der Barracuda-Networks-Firewall und anderen Produkten.[10] Alle Sicherheitslücken wurden im Laufe des Jahres vom Hersteller zuverlässig geschlossen. Die ausgehändigten Dokumente wurden vom Entwicklerteam der Firma und Dave Farrow für zukünftige Prozesse aufgearbeitet. Kunz Mejri beeinflusste von 2013 bis 2014 somit dauerhaft die Sicherheit der Barracuda-Networks-Produktserie.
Apple iOS Passcode
2014 veröffentlichte Kunz Mejri zum ersten Mal eine neuartige Sicherheitslücke in iOS V6, die es erlaubte, die Passcode-Sicherheitsfunktion zu umgehen. Die Sicherheitslücke fand sich in der Funktion für Notrufe und erlaubte den Zugriff auf das Gerät ohne die Eingabe eines Pins. Kurz darauf im gleichen Jahr entwickelte Mejri ein Exploit, das iOS-Geräte der Version V6.x in einen sogenannten „Black Screen Mode“ (Schwarzer-Bildschirm-Modus) versetzte und so den Zugriff auf den internen Speicher erlaubte. Nachdem die Sicherheitslücke veröffentlicht wurde, stiegen die Notrufe durch das missbräuchliche Ausnutzen bei Nachahmung der Sicherheitslücke im internationalen Raum um 17 %. Die Sicherheitslücke wurde von Apple einen Monat nach der Veröffentlichung geschlossen.
2015 stellte Mejri dann in einem öffentlichen Video vor, wie man die neueste SIM-Lock eines iOS-V7.x-Geräts aushebeln kann, um das Gerät unerlaubt zu benutzen. Ca. 14 Tage nach der Veröffentlichung der Sicherheitslücke wurde auch diese von Apple mit einem neuen Release beseitigt.
Im März 2016 veröffentlichte Mejri eine weitere Sicherheitslücke in Siri von Apple. Siri erlaubte es durch eine weitere, nicht beschränkte Funktion, ohne Passcode oder Fingerabdruck die Gerätesperre unerlaubt zu überwinden. Apple veröffentlichte noch am gleichen Tag einen Hotfix, der die API-Calls von Siri umlenkte, um das Sicherheitsproblem temporär zu schließen.[11]
Von August auf September 2016 meldete und veröffentlichte Mejri vier unterschiedliche Schwachstellen aus dem Bereich der Rechte-Erweiterung für iPads und iPhones mit iOS V9.x.
Im November 2016 veröffentlichte Mejri mehrere als kritisch eingestufte Sicherheitslücken in iOS-Version 10.1.1. Die erste gemeldete Schwachstelle vom November 2016 befand sich in der Funktion für Nachrichten von gesperrten iPad- und iPhone-Geräten. Durch einen Fehler in Verbindung mit der Voice-Over-Funktion, konnten lokale Angreifer die Passcode-Sicherheitsfunktion dauerhaft umgehen, um so auf sensible Gerätedaten zuzugreifen. Die zweite Sicherheitslücke aus der Veröffentlichung im Dezember 2016, erlaubte es Angreifern den aktivierten Diebstahlschutz von iOS-Geräten auszuhebeln. Die Sicherheitslücke konnte durch einen lokal verursachten Buffer Overflow in Verbindung mit einem Anwendungsabsturz ausgenutzt werden.[12][13]
NASA-Mission Orion
Am 4. Dezember 2014 veröffentlichte Kunz Mejri eine Sicherheitslücke in der Boarding-Pass-Applikation der Orion-Mission der amerikanischen Raumfahrtbehörde NASA. Die Sicherheitslücke wurde am 25. November 2014 an das CERT-Team des US-Verteidigungsministeriums übermittelt. Die Boarding-Pass-Informationen der Applikation wurden später mit Elektronenstrahllithografie auf einen Silicon-Microchip-Prototyp geschrieben, der an Bord der Raumfähre zum 4. Dezember startete. Einer der Test Exploit Payloads des Forschers wurde von der NASA nicht gelöscht und auf den isolierten Mikrochip übertragen. Mejris Exploit Payload verbrachte nach dem Launch der Rakete vier Stunden und 24 Minuten in zwei elliptischen Umlaufbahnen um die Erde mit einem Apogäum (Höhepunkt) von 5800 Kilometern. Eine Untersuchung der NASA mit einem elfköpfigen Team bestätigte, dass einer der gespeicherten Payloads im Boarding Pass versehentlich auf den Silicon-Microchip geschrieben wurde. Da der Mikrochip aber isoliert war, bestand keine Gefahr für die Technik oder das Raumfahrzeug selbst. Die NASA stellte Mejri einige Tage ein eigens präpariertes Bild bereit, mit einem Scherzeintrag von Mejri in der NASA-No-Fly-Liste.[14]
Telestar-Digital Web Radios (IoT)
Am 9. Oktober 2019 veröffentlichte Kunz Mejri eine Sicherheitslücke in IoT-Web-Radios der Firma Telestar-Digital GmbH. Angreifer konnten etwaige Opfer von außen belauschen, sowie das Endgerät modifizieren und manipulieren. Die Sicherheitslücke betraf mehrere Millionen Endgeräte und galt als kritisch, da die gleiche Firmware durch französische Dienstleister ebenfalls anderen Unternehmen in Europa sowie Asien angeboten wurde. Die Schwachstelle wurde offiziell auch als Telnet-Hintertür bekannt und durch Kaspersky sowie Eugene Kaspersky persönlich in einer Review öffentlich bewertet.[15][16][17]
PayPal Inc & J.P. Morgan
Von 2011 bis 2016 arbeitete Kunz Mejri an der Verbesserung der Sicherheit in PayPal sowie J.P. Morgan und eBay Inc. Bis 2016 veröffentlichte Kunz Mejri über 120 Sicherheitslücken in der PayPal-Web-Infrastruktur. Er war der erste Deutsche, der am offiziellen Bug-Bounty-Programm der Firma PayPal erfolgreich teilnahm. 2013 meldete der Sicherheitsforscher mehrere SQL-Injection-Sicherheitslücken in PayPals BillSafe-dienstleister. 2014 fand Kunz Mejri mit Hilfe der mobilen API aus der PayPal-iOS-App eine Sicherheitslücke, die es ihm erlaubte, auf jeden Account von PayPal zuzugreifen.[18]
Wincor Nixdorf – Sparkassen-Geldautomaten und SB-Terminals
Im Jahr 2015 veröffentlichte Kunz Mejri eine Sicherheitslücke als Reportage in SB-Terminals und Geldautomaten der Firma Wincor Nixdorf. Die Geldautomaten wurden von der Sparkasse deutschlandweit genutzt. Mit Hilfe einer Tastenkombination konnte Mejri eine Updateconsole des Administrators sichtbar machen, die Einsicht in sensible Daten gab. Die Sicherheitslücke wurde von Wincor Nixdorf dauerhaft behoben.[19][20]
BMW AG & ConnectedDrive
Im Januar 2016 veröffentlichte Kunz Mejri zwei Sicherheitslücken in den BMW-ConnectedDrive-Applikationen für Mobiltelefone.[21] Betroffen waren Applikationen für Apples iOS und Googles Android. Die erste Sicherheitslücke erlaubt das Auslesen der Browser-Cookie-Informationen beim Anmelden und Zurücksetzen der Benutzerpasswörter. Die Sicherheitslücke erlaubte das Umgehen der Anmeldefunktion durch Manipulation des Token-Parameters. Die zweite gemeldete Sicherheitslücke wurde von BMW als kritisch eingestuft und erlaubte Angreifern den unautorisierten Zugriff auf das Info-tainment System von betroffenen BMW-Fahrzeugen. Die Sicherheitslücke konnte über eine fehlerhafte Sicherheitsprüfung der VIN (Vehicle Identification Number) im Service-Portal ausgenutzt werden. Im September wurden beide Schwachstellen im Rahmen einer Sicherheitsprüfung von der BMW-Sicherheitsabteilung behoben.
Wickr Inc
Im Januar 2017 überreichte die Firma Wickr (verschlüsselter Sofortnachrichtendienst) zum ersten Mal im offiziellen Bug-Bounty-Programm einen höheren Preis an Kunz Mejri für die erbrachte Forschung im Bereich der IT-Sicherheit.[22] Da seine ersten Forschungsergebnisse mit Schwachstellen aus 2014 von Wickr Inc nicht beantwortet werden konnten, wurden einige der Information von ihm 2016 veröffentlicht.[23] Daraufhin reagierte der Wickr Inc Vice President of Engineering Christopher Howell mit einer internen Prüfung.[24] Im Anschluss an die Prüfung belohnte Howell den Sicherheitsforscher für die Identifikation und Dokumentation der Schwachstellen.[25]
Trivia
2014 wurde ein großer Teil von Kunz Mejris Geschichte als Computer-Hacker der deutschen Szene in einem Hollywood-Film mit dem Titel Who Am I – Kein System ist sicher veröffentlicht. Den Hauptcharakter „Benjamin“ spielte der Schauspieler Tom Schilling. 2015 gewann der Film sechs Auszeichnungen, darunter den internationalen Filmpreis als „Bester Internationaler Film“ und den Bambi Award.
Mejri hielt 2017 Vorträge bei der dritten Cyber-Awareness-Veranstaltung im Bildungszentrum der Bundeswehr in Mannheim[26] und auf der Internet-Security-Konferenz in Peking.
2018, 2019 und 2020 war Mejri mehrfach im deutschen Fernsehen in Interviews und Dokumentationen mit Themenschwerpunkt Informationssicherheit zu sehen.[27][28][29][30][31]
Anfang September 2020 war Mejri im Hessischen Rundfunk in einem Podcast zum Thema NSU 2.0 Todesdrohungen zu hören.[32]
Ende Mai 2021 war Mejri in der ARD bei Plusminus in einer SWR-Dokumentation mit dem Thema Ransomware und Cyberkriminalität zu sehen.[33][34] Im Juli folgte eine weitere Dokumentation für die ARD zum Thema „Verschlüsselte Chat-Kommunikation: Das Dilemma für den Staat“.[35]
Am 22. Oktober 2021 veröffentlichte die Bundeswehr (Kommando CIR) im Rahmen des einjährigen Jubiläums der Vulnerability Disclosure Policy (VDPBW) erste Ergebnisse als Statistik.[36] Mejri erreichte nach dem 1 Jahr im Responsible Disclosure Programm der Bundeswehr den ersten Platz und erhielt besondere Anerkennung in Form einer speziell geprägten Münze mit gesondertem Empfehlungsschreiben.[37] Am 20. Oktober 2021 wurde die Münze durch Generalmajor J. Setzer der Bundeswehr offiziell in Bonn zur Ehrung an Kunz Mejri übergeben.[38] Am 25. Oktober 2021 wurde dann ein Interview von Mejri auf der Internetseite der Bundeswehr veröffentlicht.[39]
Weblinks
Einzelnachweise
- VULNERABILITY LAB - SECURITY VULNERABILITY RESEARCH LABORATORY - Best Bug Bounty Programs, Vulnerability Coordination and Bug Bounty Platform - HELP PAGE. In: www.vulnerability-lab.com.
- Dusseldorf airport closes security holes - The H Security: News and Features. In: www.h-online.com.
- Eduard Kovacs: Skype 0-Day Vulnerability Allowed Hackers to Change the Password of Any Account – Video. In: softpedia.
- heise online: Hotmail-Hacking für 20 US-Dollar. In: Security.
- Sicherheitslücke (Memento vom 1. November 2015 im Internet Archive)
- Microsoft Security Bulletin MS13-067 - Critical. In: docs.microsoft.com.
- Charlie Osborne: Zero-day Skype flaw causes crashes, remote code execution | ZDNet. In: ZDNet. (zdnet.com [abgerufen am 18. Juli 2017]).
- John Leyden 27 Jun 2017 at 12:26 tweet_btn(): Make sure your Skype is up to date because FYI there's a nasty hole in it. Abgerufen am 18. Juli 2017.
- Kritische Sicherheitslücke in Skype. In: computerbild.de. (computerbild.de [abgerufen am 18. Juli 2017]).
- Knowledgebase - Answers to the Most Common Questions We Receive | Barracuda Networks. In: www.barracuda.com.
- Passcode Bypass Bugs Trouble iOS 9.1 and Later. In: threatpost.com.
- Lee Mathews: Researchers Break Apple's iPhone And iPad Activation Lock. In: Forbes. (forbes.com [abgerufen am 20. Dezember 2016]).
- Sicherheitsforscher knacken Aktivierungssperre von iPhone und iPad | ZDNet.de. In: ZDNet.de. 5. Dezember 2016 (zdnet.de [abgerufen am 20. Dezember 2016]).
- Darren Pauli 8 Dec 2014 at 08:28: Orion hacker sends stowaway into SPAAAAACE. In: www.theregister.co.uk.
- Million+ IoT Radios Open to Hijack via Telnet Backdoor. Abgerufen am 7. September 2021 (englisch).
- NVD - CVE-2019-13473. Abgerufen am 7. September 2021.
- NVD - CVE-2019-13474. Abgerufen am 7. September 2021.
- Ionut Ilascu: Flaw in PayPal Authentication Process Allows Access to Blocked Accounts. In: softpedia.
- Sparkassen, Sicherheit und Geldautomaten: Der Hacker mit der Girokarte. In: www.handelsblatt.com.
- heise online: Kommandozeilen-Zugriff: Sicherheitslücke in Geldautomaten der Sparkasse. In: Security.
- heise online: BMWs ConnectedDrive ist löchrig. In: heise online.
- Wickr Security | Your Conversations and Data are Private by Design.
- Wickr Inc - When honesty disappears behind the VCP Mountain. 27. Oktober 2016, abgerufen am 17. Juli 2019 (englisch).
- Wickr | Bug Bounty Program.
- Researchers Claim Wickr Patched Flaws but Didn't Pay Rewards | SecurityWeek.Com. In: www.securityweek.com.
- Hackers’ opinions toward cyber security issue. 14. September 2017, abgerufen am 17. Juli 2019 (englisch).
- Kliniken im Visier von Hackern. 9. September 2018, abgerufen am 17. Juli 2019.
- Cyberangriff aufs Stromnetz. 21. Juni 2019, abgerufen am 17. Juli 2019.
- Blackout - Angriff auf unser Stromnetz. 16. Juni 2019, abgerufen am 17. Juli 2019.
- Cyberkriminalität bekämpfen: Göttin der Weisheit "Athene" gegen Hacker. Abgerufen am 12. Januar 2020.
- Sabina Wolf: Das gefährliche Geschäft mit IT-Sicherheitslücken. In: Das Erste - ARD. Das Erste - ARD, 22. Januar 2020, archiviert vom Original am 21. Januar 2021 .
- hr-inforadio de, Frankfurt Germany: Die Story: Der Fall NSU 2.0. Abgerufen am 28. September 2020 (deutsch).
- Cyberkriminalität und Corona - Plusminus - ARD | Das Erste. Abgerufen am 7. September 2021.
- betrifft: ...: Angriff aus dem Netz - Wie Cyberkriminelle unsere Wirtschaft erpressen | ARD Mediathek. Abgerufen am 7. September 2021.
- Verschlüsselte Chats - Plusminus - ARD | Das Erste. Abgerufen am 7. September 2021.
- 1 Jahr Vulnerability Disclosure Policy der Bundeswehr – Die Bilanz des CISOBw. Abgerufen am 27. Oktober 2021.
- VDPBw - COIN. Abgerufen am 27. Oktober 2021.
- https://twitter.com/cirbw/status/1452590762307334151. Abgerufen am 27. Oktober 2021 (englisch).
- Im Dienst der IT-Sicherheit. Abgerufen am 27. Oktober 2021.