Turvallisuustutkimusyritys F-Secure on havainnut kriittisen haavoittuvuuden maailman suurimman lukkovalmistajan valmistamissa elektronisissa lukoissa, Assa Abloy. Haavoittuvuus mahdollisti F-Securen tutkijoiden pääsyn kaikkiin lukittuihin huoneisiin hotelleissa, jotka olivat turvassa Assa Abloyn elektroniset lukkojärjestelmät – mahdollisesti noin 40 tuhatta suurta hotellia ympäri maailmaa paljastettu.
"Tutkijoiden hyökkäys käsittää minkä tahansa tavallisen sähköisen avaimen käyttämisen kohteena olevaan laitokseen - jopa sellaisen, joka on vanhentunut, heitetty pois tai jota käytetään pääsyyn tiloihin, kuten autotalliin tai kaappiin. Avaimen tietojen avulla tutkijat voivat luoda pääavaimen, jolla on oikeudet avata mikä tahansa rakennuksen huone. Hyökkäys voidaan suorittaa huomaamatta”, F-Securen tiedotteessa sanotaan.
Suositellut videot
Tämän hyödyn avulla F-Securen tutkijat pystyivät saamaan "pääavaimen" pääsyn mihin tahansa hotelliin Assa Abloyn VingCard-järjestelmän avulla – he tarvitsivat vain vieraan avainkortin. Käyttämällä valmiita laitteita F-Securen tutkijat pystyivät lukemaan nämä avainkortit etänä – esimerkiksi taskustasi – ja käyttämällä samaa laite, kiertää tehokkaasti elektronisen avainkorttijärjestelmän suojaukset muutamassa minuutissa ja luo omat pääavaimensa ohuesta ilmaa. Selvyyden vuoksi tätä järjestelmää käytetään ensisijaisesti ravintola-alalla ja
kuluttaja Assa Abloy -tuotteita eivät vaikuta.
"Voit kuvitella, mitä pahantahtoinen ihminen voisi tehdä, kun hän pääsee sisään mihin tahansa hotellihuoneeseen pääavaimella, joka on luotu pohjimmiltaan tyhjästä", sanoi Tomi Tuominen, F-Securen harjoitusjohtaja.
Tomi sanoi, että F-Secure ei usko, että kukaan käyttää tällä hetkellä juuri tätä hyväksikäyttöä luonnossa, minkä pitäisi auttaa kaikkia usein matkustavia hengittämään helpotuksesta. Se ei silti tarkoita, etteikö sähköisissä avainkorttijärjestelmissä olisi vastaavia haavoittuvuuksia. Loppujen lopuksi F-Securen odysseia tämän haavoittuvuuden löytämiseksi sai alkunsa sen jälkeen, kun yksi sen tutkijoista koki samanlaisen hyväksikäytön omakohtaisesti.
– Tutkijoiden kiinnostus hotellien lukkojen hakkerointiin sai alkunsa vuosikymmen sitten, kun kollegan kannettava tietokone varastettiin hotellihuoneesta turvallisuuskonferenssin aikana. Kun tutkijat ilmoittivat varkaudesta, hotellin henkilökunta hylkäsi heidän valituksensa, koska siellä ei ollut a Yksittäinen merkki pakotetusta sisäänpääsystä, eikä huoneiden sisääntulolokeissa ole näyttöä luvattomasta sisäänpääsystä”, tiedote jatkuu.
F-Secure on työskennellyt käsi kädessä Assa Abloyn kanssa lieventääkseen tätä haavoittuvuutta ja kehittääkseen ohjelmistokorjauksia kaikille vaikutusalaan kuuluville hotellikiinteistöille.
"Haluan henkilökohtaisesti kiittää Assa Abloyn tuotekehitystiimiä erinomaisesta yhteistyöstä näiden ongelmien korjaamisessa", Tuominen sanoi. ”Heidän ahkeruutensa ja halukkuutensa puuttua tutkimuksemme havaitsemiin ongelmiin, vieraanvaraisuus on nyt turvallisempi paikka. Kehotamme kaikkia tätä ohjelmistoa käyttäviä laitoksia ottamaan päivityksen käyttöön mahdollisimman pian."
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
