Società di ricerca sulla sicurezza F-Secure ha scoperto una vulnerabilità critica nelle serrature elettroniche realizzate dal più grande produttore di serrature al mondo, Assa Abloy. La vulnerabilità ha consentito ai ricercatori di F-Secure di accedere a qualsiasi stanza chiusa a chiave negli hotel protetti da uno di I sistemi di chiusura elettronica di Assa Abloy – lasciando potenzialmente circa 40mila grandi hotel in tutto il mondo esposto.
“L’attacco dei ricercatori prevede l’utilizzo di qualsiasi normale chiave elettronica per la struttura presa di mira, anche una che è scaduta da tempo, scartata o utilizzata per accedere a spazi come un garage o un ripostiglio. Utilizzando le informazioni sulla chiave, i ricercatori sono in grado di creare una chiave principale con privilegi per aprire qualsiasi stanza dell'edificio. L’attacco può essere eseguito senza essere notato”, si legge nell’annuncio di F-Secure.
Video consigliati
Con questo exploit, i ricercatori di F-Secure sono riusciti a ottenere l’accesso tramite “chiave principale” a qualsiasi struttura alberghiera utilizzando il sistema VingCard di Assa Abloy: tutto ciò di cui avevano bisogno era la chiave magnetica di un ospite. Utilizzando hardware standard, i ricercatori di F-Secure sono stati in grado di leggere queste chiavi magnetiche da remoto, ad esempio attraverso la tasca, e utilizzando lo stesso dispositivo, aggirano efficacemente le protezioni del sistema di chiavi elettroniche in pochi minuti, creando le proprie chiavi master dal sottile aria. Per essere chiari, però, questo sistema è utilizzato principalmente nel settore dell’ospitalità e
prodotti di consumo Assa Abloy non sono influenzati.
"Potete immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi camera d'albergo, con una chiave principale creata praticamente dal nulla", ha affermato Tomi Tuominen, practice leader di F-Secure.
Tomi ha detto che F-Secure non crede che nessuno stia attualmente utilizzando questo stesso exploit in natura, il che dovrebbe aiutare tutti voi viaggiatori abituali a tirare un sospiro di sollievo. Tuttavia, ciò non significa che non esistano vulnerabilità simili nei sistemi di chiavi elettroniche. Dopotutto, l’odissea di F-Secure per scoprire questa vulnerabilità è iniziata dopo che uno dei suoi ricercatori ha sperimentato in prima persona un exploit simile.
“L’interesse dei ricercatori per l’hacking delle serrature degli hotel è nato dieci anni fa, quando il laptop di un collega fu rubato da una stanza d’albergo durante una conferenza sulla sicurezza. Quando gli investigatori hanno denunciato il furto, il personale dell'hotel ha respinto la denuncia, in quanto non sussisteva alcuna denuncia unico segno di ingresso forzato e nessuna prova di accesso non autorizzato nei registri degli accessi alla stanza", l'annuncio continua.
F-Secure ha lavorato fianco a fianco con Assa Abloy per mitigare questa particolare vulnerabilità e sviluppare patch software per tutte le proprietà alberghiere interessate.
"Vorrei ringraziare personalmente il team di ricerca e sviluppo di Assa Abloy per l'eccellente collaborazione nel risolvere questi problemi", ha affermato Tuominen. “Grazie alla loro diligenza e volontà nell’affrontare i problemi identificati dalla nostra ricerca, il mondo dell’ospitalità è ora un luogo più sicuro. Invitiamo qualsiasi struttura che utilizza questo software ad applicare l'aggiornamento il prima possibile."
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
