Ερευνητική εταιρεία ασφάλειας F-Secure ανακάλυψε μια κρίσιμη ευπάθεια στις ηλεκτρονικές κλειδαριές που κατασκευάζονται από τον μεγαλύτερο κατασκευαστή κλειδαριών στον κόσμο, Assa Abloy. Η ευπάθεια επέτρεψε στους ερευνητές της F-Secure να αποκτήσουν πρόσβαση σε οποιοδήποτε κλειδωμένο δωμάτιο σε ξενοδοχεία που ασφαλίστηκαν από ένα από τα Τα ηλεκτρονικά συστήματα κλειδαριάς της Assa Abloy — αφήνοντας πιθανώς περίπου 40 χιλιάδες μεγάλα ξενοδοχεία σε όλο τον κόσμο εκτεθειμένος.
«Η επίθεση των ερευνητών περιλαμβάνει τη χρήση οποιουδήποτε συνηθισμένου ηλεκτρονικού κλειδιού για την εγκατάσταση-στόχο – ακόμη και ενός που έχει λήξει εδώ και καιρό, έχει απορριφθεί ή χρησιμοποιείται για πρόσβαση σε χώρους όπως γκαράζ ή ντουλάπα. Χρησιμοποιώντας πληροφορίες για το κλειδί, οι ερευνητές μπορούν να δημιουργήσουν ένα κύριο κλειδί με προνόμια για να ανοίξουν οποιοδήποτε δωμάτιο στο κτίριο. Η επίθεση μπορεί να πραγματοποιηθεί χωρίς να γίνει αντιληπτή», αναφέρει η ανακοίνωση της F-Secure.
Προτεινόμενα βίντεο
Με αυτήν την εκμετάλλευση, οι ερευνητές της F-Secure μπόρεσαν να αποκτήσουν πρόσβαση με «κύριο κλειδί» σε οποιαδήποτε ξενοδοχειακή εγκατάσταση χρησιμοποιώντας το σύστημα VingCard της Assa Abloy — το μόνο που χρειάζονταν ήταν η κάρτα-κλειδί ενός επισκέπτη. Χρησιμοποιώντας υλικό εκτός ραφιού, οι ερευνητές της F-Secure μπόρεσαν να διαβάσουν αυτές τις κάρτες-κλειδιά εξ αποστάσεως — ας πούμε, μέσα από την τσέπη σας — και χρησιμοποιώντας τις ίδιες συσκευή, παρακάμπτουν αποτελεσματικά τις προστασίες του συστήματος ηλεκτρονικής κάρτας κλειδιών μέσα σε λίγα λεπτά, δημιουργώντας τα δικά τους κύρια κλειδιά από λεπτά αέρας. Για να είμαστε σαφείς όμως, αυτό το σύστημα χρησιμοποιείται κυρίως στη βιομηχανία φιλοξενίας και καταναλωτικά προϊόντα Assa Abloy είναι ανεπηρέαστοι.
«Μπορείτε να φανταστείτε τι θα μπορούσε να κάνει ένα κακόβουλο άτομο με τη δύναμη να μπει σε οποιοδήποτε δωμάτιο ξενοδοχείου, με ένα κύριο κλειδί που δημιουργήθηκε βασικά από τον αέρα», είπε ο Tomi Tuominen, επικεφαλής πρακτικής στην F-Secure.
Ο Tomi είπε ότι η F-Secure δεν πιστεύει ότι κάποιος χρησιμοποιεί αυτήν τη στιγμή αυτό ακριβώς το exploit στη φύση, το οποίο θα βοηθήσει όλους εσάς που ταξιδεύετε συχνά να αναπνεύσετε ανακούφιση. Ωστόσο, αυτό δεν σημαίνει ότι δεν υπάρχουν παρόμοια τρωτά σημεία στα συστήματα ηλεκτρονικών καρτών-κλειδιών. Εξάλλου, η οδύσσεια της F-Secure για την ανακάλυψη αυτής της ευπάθειας ξεκίνησε όταν ένας από τους ερευνητές της βίωσε από πρώτο χέρι μια παρόμοια εκμετάλλευση.
«Το ενδιαφέρον των ερευνητών για την παραβίαση κλειδαριών ξενοδοχείων πυροδοτήθηκε πριν από μια δεκαετία, όταν ο φορητός υπολογιστής ενός συναδέλφου κλάπηκε από ένα δωμάτιο ξενοδοχείου κατά τη διάρκεια μιας διάσκεψης ασφαλείας. Όταν οι ερευνητές ανέφεραν την κλοπή, το προσωπικό του ξενοδοχείου απέρριψε την καταγγελία τους, δεδομένου ότι δεν υπήρχε α ενιαία ένδειξη αναγκαστικής εισόδου και καμία ένδειξη μη εξουσιοδοτημένης πρόσβασης στα ημερολόγια εισόδου του δωματίου», η ανακοίνωση συνεχίζεται.
Η F-Secure συνεργάζεται με την Assa Abloy για να μετριάσει αυτή τη συγκεκριμένη ευπάθεια και να αναπτύξει ενημερώσεις κώδικα λογισμικού για όλες τις επηρεαζόμενες ξενοδοχειακές ιδιοκτησίες.
«Θα ήθελα να ευχαριστήσω προσωπικά την ομάδα Ε&Α της Assa Abloy για την άριστη συνεργασία τους στην επίλυση αυτών των προβλημάτων», δήλωσε ο Tuominen. «Λόγω της επιμέλειας και της προθυμίας τους να αντιμετωπίσουν τα προβλήματα που εντοπίστηκαν από την έρευνά μας, ο κόσμος της φιλοξενίας είναι πλέον ένα πιο ασφαλές μέρος. Προτρέπουμε κάθε επιχείρηση που χρησιμοποιεί αυτό το λογισμικό να εφαρμόσει την ενημέρωση το συντομότερο δυνατό."
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
