Firma de cercetare de securitate F-Secure a descoperit o vulnerabilitate critică în încuietorile electronice produse de cel mai mare producător de lacăte din lume, Assa Abloy. Vulnerabilitatea a permis cercetătorilor F-Secure să obțină acces la orice cameră încuiată din hoteluri securizate de unul dintre Sistemele electronice de închidere ale lui Assa Abloy - lăsând potențial aproximativ 40 de mii de hoteluri importante din întreaga lume expuse.
„Atacul cercetătorilor implică utilizarea oricărei chei electronice obișnuite la instalația țintă – chiar și una care a expirat de mult timp, aruncată sau folosită pentru a accesa spații precum garaj sau dulap. Folosind informațiile de pe cheie, cercetătorii pot crea o cheie principală cu privilegii de a deschide orice cameră din clădire. Atacul poate fi efectuat fără a fi observat”, se arată în anunțul F-Secure.
Videoclipuri recomandate
Cu această exploatare, cercetătorii F-Secure au reușit să obțină acces cu „cheie principală” la orice unitate hotelieră folosind sistemul VingCard de la Assa Abloy – tot ce aveau nevoie era cardul de cheie al unui oaspete. Folosind hardware disponibil, cercetătorii de la F-Secure au putut să citească aceste carduri de la distanță - să zicem, prin buzunar - și folosind aceleași dispozitiv, ocolesc în mod eficient protecțiile sistemului cardului electronic cu chei în doar câteva minute, creându-și propriile chei principale din subțire aer. Pentru a fi clar, totuși, acest sistem este utilizat în principal în industria ospitalității și
produse de consum Assa Abloy sunt neafectate.
„Îți poți imagina ce ar putea face o persoană rău intenționată cu puterea de a intra în orice cameră de hotel, cu o cheie principală creată practic din aer”, a spus Tomi Tuominen, lider de practică la F-Secure.
Tomi a spus că F-Secure nu crede că cineva folosește în prezent această exploatare exactă în sălbăticie, care ar trebui să-i ajute pe toți călătorii frecventi să răsufle uşuraţi. Totuși, asta nu înseamnă că nu există vulnerabilități similare în sistemele cu carduri electronice. La urma urmei, odiseea F-Secure de a descoperi această vulnerabilitate a fost începută după ce unul dintre cercetătorii săi a experimentat o exploatare similară directă.
„Interesul cercetătorilor de a sparge încuietorile hotelurilor a fost stârnit cu un deceniu în urmă, când laptopul unui coleg a fost furat dintr-o cameră de hotel în timpul unei conferințe de securitate. Când cercetătorii au raportat furtul, personalul hotelului le-a respins plângerea, având în vedere că nu a existat un un singur semn de intrare forțată și nicio dovadă de acces neautorizat în jurnalele de intrare în cameră”, anunțul continuă.
F-Secure a lucrat mână în mână cu Assa Abloy pentru a atenua această vulnerabilitate specială și pentru a dezvolta corecții software pentru toate proprietățile hoteliere afectate.
„Aș dori să mulțumesc personal echipei de cercetare și dezvoltare Assa Abloy pentru cooperarea excelentă în remedierea acestor probleme”, a spus Tuominen. „Din cauza diligenței și a dorinței lor de a aborda problemele identificate de cercetările noastre, lumea ospitalității este acum un loc mai sigur. Îndemnăm orice unitate care utilizează acest software să aplice actualizarea cât mai curând posibil.”
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
