Beveiligingsonderzoeksbureau F-Secure heeft een kritieke kwetsbaarheid ontdekt in elektronische sloten gemaakt door 's werelds grootste slotenfabrikant, Assa Abloy. Door de kwetsbaarheid konden F-Secure-onderzoekers toegang krijgen tot elke afgesloten kamer in hotels die door een van de beveiligingsbedrijven werd beveiligd De elektronische slotsystemen van Assa Abloy – waardoor er potentieel ongeveer 40.000 grote hotels over de hele wereld overblijven blootgesteld.
“De aanval van de onderzoekers omvat het gebruik van elke gewone elektronische sleutel voor de doelfaciliteit – zelfs een sleutel die al lang verlopen is, wordt weggegooid of wordt gebruikt om toegang te krijgen tot ruimtes zoals een garage of kast. Met behulp van informatie over de sleutel kunnen de onderzoekers een hoofdsleutel maken met privileges om elke kamer in het gebouw te openen. De aanval kan worden uitgevoerd zonder dat het wordt opgemerkt”, luidt de aankondiging van F-Secure.
Aanbevolen video's
Met deze exploit konden F-Secure-onderzoekers ‘master key’-toegang verkrijgen tot elke hotelfaciliteit met behulp van het VingCard-systeem van Assa Abloy. Het enige wat ze nodig hadden was de sleutelkaart van een gast. Met behulp van kant-en-klare hardware konden de onderzoekers van F-Secure deze sleutelkaarten op afstand lezen – bijvoorbeeld via uw zak – en dezelfde apparaat, effectief de beveiligingen van het elektronische sleutelkaartsysteem omzeilen in slechts enkele minuten, waardoor hun eigen hoofdsleutels uit het niets worden gecreëerd lucht. Voor alle duidelijkheid: dit systeem wordt voornamelijk gebruikt in de horeca
consumentenproducten van Assa Abloy zijn onaangetast.
“Je kunt je voorstellen wat een kwaadwillend persoon zou kunnen doen met de macht om elke hotelkamer binnen te komen, met een hoofdsleutel die feitelijk uit het niets is gemaakt”, zegt Tomi Tuominen, praktijkleider bij F-Secure.
Tomi zei dat F-Secure niet gelooft dat iemand deze exacte exploit momenteel in het wild gebruikt, wat alle frequente reizigers zou moeten helpen opgelucht te ademen. Dat betekent echter niet dat er geen vergelijkbare kwetsbaarheden zijn in elektronische sleutelkaartsystemen. De odyssee van F-Secure om deze kwetsbaarheid te ontdekken begon immers nadat een van zijn onderzoekers uit de eerste hand een soortgelijke exploit had ervaren.
“De interesse van de onderzoekers in het hacken van hotelsloten ontstond tien jaar geleden toen de laptop van een collega tijdens een beveiligingsconferentie uit een hotelkamer werd gestolen. Toen de onderzoekers de diefstal meldden, wees het hotelpersoneel hun klacht af, aangezien er geen sprake was van een diefstal enig teken van inbraak en geen bewijs van ongeoorloofde toegang in de toegangslogboeken van de kamer”, aldus de aankondiging gaat door.
F-Secure heeft nauw samengewerkt met Assa Abloy om deze specifieke kwetsbaarheid te beperken en softwarepatches te ontwikkelen voor alle getroffen hoteleigendommen.
“Ik wil het R&D-team van Assa Abloy persoonlijk bedanken voor hun uitstekende samenwerking bij het verhelpen van deze problemen”, aldus Tuominen. “Dankzij hun toewijding en bereidheid om de problemen aan te pakken die door ons onderzoek zijn geïdentificeerd, is de horecawereld nu een veiliger plek. We dringen er bij elke vestiging die deze software gebruikt op aan om de update zo snel mogelijk toe te passen.”
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
