Как хакеры проникают в чужие комнаты отелей

0
36
Как хакеры проникают в чужие комнаты отелей

Ключи от отеля, даже недействительные, помогают хакерам проникать в комнаты

"Получив доступ к широко используемой ключевой карточки гостиницы, злоумышленник может создать мастер-ключ, чтобы разблокировать любую комнату в здании, не оставляя следов" - говорят исследователи безопасности из Финляндии в исследовании, опубликованном в среду.

В то время, как исследователи исправили недостаток вместе с Асса Аблой - крупнейшим в мире производителем замков, который владеет этой системой, этот случай служит пробуждением для индустрии недвижимости к проблеме, которая не освещалась, в течение многих лет.

Томи Туоминен, в возрасте 45 лет и Тимо Хирвонен (32 года) - консультанты по безопасности для финской службы безопасности данных F-Secure, говорят, что они обнаружили уязвимость около года назад и сообщили об этом Assa.

"Мы выяснили, что, используя любую ключевую карту в отеле ... вы можете создать мастер-ключ, который может помочь войти в любую комнату в отеле. Он даже не должен быть действительным, а может быть с истекшим сроком годности" - сказал Хирвонен в интервью.

Исследователь F-Secure Timo Hirvonen показывает устройство, которое может создать главный ключ из одной карточки ключа отеля
Исследователь F-Secure Timo Hirvonen показывает устройство, которое может создать главный ключ из одной карточки ключа отеля

Исследователи помогли Assa исправить программное обеспечение для обновления, сделанного в сети отелей, в феврале.

Компания Асса объявила, что некоторые отели обновили его, но для полного решения проблемы потребуется еще несколько недель.

«Я очень рекомендую гостиницам устанавливать эти исправления программного обеспечения» - сказал Хирвонен. «Но я думаю, что немедленной угрозы нет, так как возможность развивать эту атаку займет некоторое время» - добавил он.

Любой свежий риск безопасности остается низким, поскольку инструменты и методы исследователей не будут опубликованы, как отметили в Асса.

Считается, что система с ключевыми карточками с радиочастотным идентификатором, Vision by Vingcard, была заменена множеством отелей на более новую технологию, но нынешний владелец компании Асса - Аблой оценил, что система, по-прежнему, используется в нескольких сотнях тысяч гостиничных номеров, по всему миру.

Туоминен сказал, что прорыв в решении проблемы состоял в том, чтобы выяснить слабость в том, как блокировки развертываются и устанавливаются вместе с незначительным техническим недостатком конструкции.

Сидя в штаб-квартире F-Secure из стекла и стали, на Балтийском море, исследователи демонстрируют небольшое аппаратное устройство, с помощью которого, они могут подобрать главный ключ из информации любой карты в Системах Vingcard.

Проблемы с картами-ключами возникли впервые, в 2003 году, когда ноутбук исчез из комнаты эксперта по компьютерной безопасности, в высококлассном отеле в Берлине.

Персонал гостиницы сказал, что вор не оставил следов в комнате или в системе электрического замка. Украденный ноутбук, который никогда не появлялся, принадлежал гостю, который представил свои исследования, на конференции по безопасности.

Услышав о краже на конференции, Туоминен и Хирвонен - ​​тогда еще парни в хакерских черных толстовках, спросили себя: можно ли взломать систему блокировки, не оставляя следа?

В течение многих лет, они отработали и решили разгадать тайну пластиковых карт, возвратом которых гости часто пренебрегают. Сначала это было просто увлечение, а затем профессиональная миссия.

«Я не удивлюсь, если у разных систем электронного замка будут одинаковые уязвимости. Вы не можете знать, насколько безопасна система, пока кто-то, действительно, не попытается ее взломать» - сказал Хирвонен.

Исследователи говорят, что у них нет доказательств того, что уязвимости, которые они обнаружили, были придуманы преступниками.

Асса Аблой подчеркивает, что его новые предложения основаны на разных технологиях, включая систему, которая позволяет гостям отеля открывать дверные замки, с помощью своего смартфона.

«Проблема бизнеса, в сфере безопасности заключается в том, что это движущаяся цель. То, что безопасно в определенный момент времени не может продолжаться в течении 20 лет» - сказал в телефонном интервью Кристоф Сут - исполнительный директор Assa Abloy Hospitality.

Исследователи попросили у Ассы денег за свою работу или открытие, заявив, что они были вызваны вызовом, с которым они успешно справились.

«Некоторые люди играют в футбол, некоторые ходят на плавание, некоторые делают фотографии, а решение таких проблем - это наше хобби» - сказал Туоминен.

Источник: https://gadgets.ndtv.com/internet/news/assa-abloy-locks-f-secure-vision-by-vingcard-1843356