(kép: F-Secure / szállítva)
a biztonsági kutatók olyan mesterkulcsot építettek, amely kihasználja a népszerű és széles körben használt szállodai elektronikus zárrendszer tervezési hibáját, lehetővé téve az épület minden szobájának korlátlan hozzáférését.
a vision by VingCard néven ismert és a svéd Assa Abloy által épített elektronikus zárrendszert több mint 42 000 ingatlanban használják 166 országban, több millió szállodai szobában-valamint garázsokban és raktárakban.
ezek az elektronikus zárrendszerek mindennaposak a szállodákban, amelyeket a személyzet arra használ, hogy szemcsés ellenőrzést biztosítson annak felett, hogy egy személy hova mehet egy szállodában-például a szobájában -, sőt korlátozza azt a padlót is, ahol a lift megáll. És ezek a kulcsok törölhetők és újra felhasználhatók, amikor a vendégek kijelentkeznek.
kiderült, hogy ezek a kulcskártyák nem olyan biztonságosak, mint az első gondolat.
az F-Secure munkatársai, Tomi Tuominen és Timo Hirvonen, akik elvégezték a munkát, azt mondták, hogy képesek létrehozni egy mesterkulcsot “alapvetően a semmiből.”
bármely kulcskártya megteszi. Még a régi, lejárt vagy eldobott kulcsok is elegendő maradék adatot tárolnak a támadás során. Egy egyedi szoftvert futtató kézi eszköz segítségével a kutatók ellophatják az adatokat egy kulcskártyáról-akár vezeték nélküli rádiófrekvenciás azonosítás (RFID), akár a mágnescsík segítségével. Ez az eszköz ezután manipulálja az ellopott kulcsadatokat, amelyek azonosítják a szállodát, hogy a legmagasabb szintű jogosultságokkal rendelkező hozzáférési tokent állítson elő, amely gyakorlatilag mesterkulcsként szolgál az épület minden szobájához.
ez nem egy éjszakai erőfeszítés volt. A kutatóknak több mint egy évtizedes munka kellett ahhoz, hogy ideérjenek.
a kutatók 2003-ban kezdték meg a szobakulcs megkerülését, amikor egy kolléga laptopját ellopták egy szállodai szobából. Nincs jele erőszakos behatolásnak vagy jogosulatlan hozzáférésnek a szobába, a szálloda személyzete állítólag elutasította az esetet. A kutatók arra törekedtek, hogy megtalálják a Smart lock népszerű márkáját. Szavaik szerint a mesterkulcs megtalálása és megépítése messze nem volt könnyű, és “több ezer órányi munkát” vett igénybe on-off alapon, próbálkozással és hibával.
“a támadás kifejlesztése jelentős időt és erőfeszítést igényelt” – mondta Tuominen és Hirvonen a ZDNetnek küldött e-mailben.
” 2015-ben építettünk egy RFID demo környezetet, és 2017 márciusában sikerült létrehoznunk az első mesterkulcsot egy igazi szálloda számára ” – mondták. “Ha valaki teljes munkaidőben csinálná ezt, valószínűleg sokkal kevesebb időbe telne.
jó hír volt, a kutatók szerint.
“jelenleg nem tudunk senki másról, aki ezt a támadást végrehajtaná a vadonban” – mondta a kutatók, lebecsülve a szállodai ügyfelek kockázatát.
felfedezésük arra késztette az Assa Abloyt, hogy adjon ki egy biztonsági javítást a hibák kijavítására. A közzétételi ütemterv szerint Assa Abloy először egy hónappal később, 2017 áprilisában értesült a sebezhetőségről, majd több hónapon keresztül újra találkozott a hibák kijavítása érdekében.
a szoftver a központi szerveren van javítva, de az egyes zárak firmware-jét frissíteni kell.
“ez megköveteli, hogy valaki fizikailag jelen legyen a zárnál” – írták a kutatók.
de kevés részlet áll rendelkezésre a javításról. Az Assa Abloy szóvivője nem válaszolt több e-mailre és telefonhívásra, amelyben megjegyzést kért. A vállalat 2018 elején szállította a javítást az ügyfeleknek, de nem ismert, hogy hány szálloda vezette be a javítást.
több nagy szálloda, köztük a berlini Waldorf Astoria, a San Francisco-i Grand Hyatt és a Torontói Renaissance Downtown állítólag a svéd lakatgyártó ügyfelei.
megkerestük a Hyatt és a Marriott képviselőit, de a közzététel időpontjáig nem kaptunk választ.
a Hilton szóvivője szerint a vállalat “tisztában volt” a biztonsági résekkel.
“vendégeink biztonsága kiemelt fontosságú. Szorosan együttműködünk a Ving-szel, hogy korlátozott számú szállodában orvosoljuk az érintett rendszereket” – mondta a szóvivő.
a kutatók sürgették az ajtózárakat használó épületeket, hogy a lehető leghamarabb frissítsék őket.
