Można było się włamać do milionów pokoi hotelowych nie pozostawiając żadnych śladów

Badacze z firmy F-Secure odkryli lukę w elektronicznym systemie zamków wykorzystywanych w hotelach na całym świecie, która pozwala dostać się do dowolnego pomieszczenia w budynku. Problem może dotyczyć milionów pomieszczeń hotelowych na całym świecie .Błędy konstrukcyjne w oprogramowaniu Vision by Vingcard skłoniły największego na świecie dostawcę zabezpieczeń elektromechanicznych do drzwi, firmę Assa Abloy, do udostępnienia aktualizacji.

Potencjalne włamanie, które zasymulowali badacze, może zostać przeprowadzone z użyciem klucza w postaci karty elektronicznej. Nadają się do tego zarówno karty, które już dawno wygasły, nie są aktywne, a nawet te wykorzystywane jedynie przy wejściu do garażu czy pomieszczenia sanitarnego. Dane przejęte z karty zbliżeniowej umożliwiły badaczom stworzenie tzw. klucza generalnego (Master Key), otwierającego wszystkie drzwi w hotelu. W dodatku wtargnięcie z użyciem tej metody nie pozostawia jakichkolwiek śladów.

klucze

Zainteresowanie badaczy dekadę temu wzbudziła kradzież laptopa z pokoju hotelowego, podczas jednej z konferencji poświęconej bezpieczeństwu, w której uczestniczyli. Kradzież została zgłoszona, ale obsługa hotelu oddaliła sprawę, motywując swoją decyzję brakiem jakichkolwiek śladów użycia siły, a nawet pozostawienia zapisów w rejestrze.

Łatwo wyobrazić sobie, jak duże szkody może wyrządzić karta dostępu do każdego miejsca w hotelu, jeżeli trafi w niepowołane ręce. Rozpoczęliśmy badania w tym kierunku, ponieważ sami doświadczyliśmy podobnego problemu 12 lat temu, kiedy skradziono nasz komputer. Na szczęście do tej pory nie dostaliśmy zgłoszenia o innych wtargnięciach.

– komentuje Tomi Tuominen, lider globalnej jednostki F-Secure Cyber Security Services.

Poszukiwanie luki stanowiło długotrwały proces, który wymagał dokładnego zaznajomienia się z architekturą całego systemu oraz przeprowadzenia licznych prób, trwających kilka tysięcy godzin.

Firma F-Secure poinformowała Assa Abloy o wykrytej luce i współpracowała z twórcami zabezpieczenia przez ostatni rok, aby udało się wprowadzić konieczne zmiany. Aktualizacja jest już dostępna do pobrania dla wszystkich, którzy wykorzystują ten system zamków.

W trakcie prowadzonych działań badawczych nie podejmowano prób obejścia zabezpieczeń do żadnych publicznie dostępnych pokoi hotelowych. Narzędzia wykorzystane do przeprowadzenia symulacji ataku nie zostaną ujawnione.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej