Sikkerhetsundersøkelsesfirma F-Secure har oppdaget en kritisk sårbarhet i elektroniske låser laget av verdens største låsprodusent, Assa Abloy. Sårbarheten tillot F-Secure-forskere å få tilgang til ethvert låst rom på hoteller sikret av en av Assa Abloys elektroniske låsesystemer – etterlater omtrent 40 tusen store hoteller rundt om i verden potensielt utsatt.
"Forskernes angrep involverer å bruke en hvilken som helst vanlig elektronisk nøkkel til målanlegget - selv en som er utgått på dato, forkastet eller brukt for å få tilgang til rom som en garasje eller et skap. Ved å bruke informasjon om nøkkelen kan forskerne lage en hovednøkkel med rettigheter til å åpne et hvilket som helst rom i bygningen. Angrepet kan utføres uten å bli lagt merke til», heter det i F-Secures kunngjøring.
Anbefalte videoer
Med denne utnyttelsen var F-Secure-forskere i stand til å få «hovednøkkel»-tilgang til ethvert hotellanlegg ved å bruke Assa Abloys VingCard-system – alt de trengte var en gjests nøkkelkort. Ved å bruke hyllevare var F-Secures forskere i stand til å lese disse nøkkelkortene eksternt - for eksempel gjennom lommen din - og bruke det samme enhet, effektivt omgå beskyttelsen til det elektroniske nøkkelkortsystemet på bare noen få minutter, og lage sine egne hovednøkler ut av tynt luft. For å være tydelig, er dette systemet først og fremst brukt i gjestfrihetsbransjen, og
forbruker Assa Abloy-produkter er upåvirket.
"Du kan forestille deg hva en ondsinnet person kan gjøre med kraften til å gå inn i et hotellrom, med en hovednøkkel laget i utgangspunktet ut av løse luften," sa Tomi Tuominen, praksisleder i F-Secure.
Tomi sa at F-Secure ikke tror at noen for øyeblikket bruker denne eksakte utnyttelsen i naturen, som burde hjelpe alle dere hyppige reisende å puste lettet ut. Likevel betyr det ikke at det ikke er lignende sårbarheter i elektroniske nøkkelkortsystemer. Tross alt ble F-Secures odyssé for å oppdage denne sårbarheten startet etter at en av forskerne opplevde en lignende utnyttelse på egenhånd.
"Forskernes interesse for å hacke hotelllåser ble utløst for et tiår siden da en kollegas bærbare datamaskin ble stjålet fra et hotellrom under en sikkerhetskonferanse. Da forskerne rapporterte tyveriet, avviste hotellpersonalet klagen deres, gitt at det ikke var en enkelt tegn på tvangsinngang, og ingen bevis for uautorisert tilgang i loggene for rominngang,» kunngjøringen fortsetter.
F-Secure har jobbet hånd i hånd med Assa Abloy for å redusere denne spesielle sårbarheten og utvikle programvareoppdateringer for alle berørte hotelleiendommer.
"Jeg vil personlig takke Assa Abloy R&D-teamet for deres utmerkede samarbeid for å rette opp disse problemene," sa Tuominen. "På grunn av deres flid og vilje til å løse problemene identifisert av vår forskning, er gjestfrihetsverdenen nå et tryggere sted. Vi oppfordrer alle virksomheter som bruker denne programvaren til å ta i bruk oppdateringen så snart som mulig."
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
