(Immagine: F-Secure/in dotazione)
i ricercatori di Sicurezza hanno costruito una chiave master che sfrutta un difetto di progettazione in un popolare e ampiamente utilizzato in hotel, serratura elettronica, consentendo il libero accesso ad ogni stanza dell’edificio.
Il sistema di serratura elettronica, noto come Vision by VingCard e costruito dal produttore svedese di serrature Assa Abloy, è utilizzato in più di 42.000 proprietà in 166 paesi, per un importo di milioni di camere d’albergo — così come garage e unità di stoccaggio.
Questi sistemi di serratura elettronica sono comuni negli hotel, utilizzati dal personale per fornire controlli granulari su dove una persona può andare in un hotel-come la propria stanza-e persino limitare il pavimento a cui si ferma l’ascensore. E queste chiavi possono essere cancellati e riutilizzati quando gli ospiti check-out.
Si scopre che queste carte chiave non sono sicure come il primo pensiero.
Tomi Tuominen e Timo Hirvonen di F-Secure, che hanno eseguito il lavoro, hanno affermato di poter creare una chiave master “fondamentalmente dal nulla.”
Qualsiasi key card lo farà. Anche le chiavi vecchie e scadute o scartate conservano dati residui sufficienti per essere utilizzate nell’attacco. Utilizzando un dispositivo portatile che esegue software personalizzato, i ricercatori possono rubare i dati da una scheda chiave-utilizzando l’identificazione a radiofrequenza wireless (RFID) o la banda magnetica. Quel dispositivo manipola quindi i dati chiave rubati, che identificano l’hotel, per produrre un token di accesso con il più alto livello di privilegi, che funge efficacemente da chiave principale per ogni stanza dell’edificio.
Questo non è stato uno sforzo durante la notte. Ci sono voluti i ricercatori più di un decennio di lavoro per arrivare qui.
I ricercatori hanno iniziato i loro sforzi di bypass chiave della stanza nel 2003 quando il laptop di un collega è stato rubato da una stanza d’albergo. Senza alcun segno di effrazione o accesso non autorizzato alla stanza, si dice che il personale dell’hotel abbia respinto l’incidente. I ricercatori hanno deciso di trovare una marca popolare di smart lock da esaminare. Nelle loro parole, trovare e costruire la chiave master è stato tutt’altro che facile, e ha richiesto “diverse migliaia di ore di lavoro” su base on-off e utilizzando tentativi ed errori.
“Lo sviluppo di attacco ha preso una notevole quantità di tempo e fatica,” ha detto Tuominen e Hirvonen, in una e-mail a ZDNet.
” Abbiamo costruito un ambiente demo RFID nel 2015 e siamo stati in grado di creare la nostra prima chiave master per un vero hotel a marzo 2017″, hanno detto. “Se qualcuno dovesse farlo a tempo pieno, probabilmente ci vorrebbe molto meno tempo.
C’erano buone notizie, hanno detto i ricercatori.
“Non sappiamo di nessun altro che esegue questo particolare attacco in natura in questo momento”, hanno detto i ricercatori, minimizzando il rischio per i clienti dell’hotel.
La loro scoperta ha anche spinto Assa Abloy a rilasciare una patch di sicurezza per correggere i difetti. Secondo la loro timeline di divulgazione, Assa Abloy è stato informato per la prima volta delle vulnerabilità un mese dopo, ad aprile 2017, e si è riunito di nuovo per diversi mesi per correggere i difetti.
Il software è patchato sul server centrale, ma il firmware su ogni blocco deve essere aggiornato.
“Ciò richiede che qualcuno sia fisicamente presente alla serratura”, hanno scritto i ricercatori.
Ma sono disponibili pochi dettagli sulla patch. Un portavoce di Assa Abloy non ha restituito diverse e-mail e telefonate che richiedevano commenti. La società ha consegnato la patch ai clienti all’inizio del 2018, ma non è noto quanti hotel abbiano implementato la correzione.
Diversi hotel importanti, tra cui il Waldorf Astoria a Berlino, il Grand Hyatt a San Francisco e il Renaissance Downtown a Toronto, si dice che siano clienti del produttore di serrature svedese.
Abbiamo raggiunto i rappresentanti di Hyatt e Marriott, ma non abbiamo sentito indietro al momento della pubblicazione.
Un portavoce di Hilton ha dichiarato che la società era “consapevole” delle vulnerabilità.
“La sicurezza e la sicurezza dei nostri ospiti sono di fondamentale importanza. Stiamo lavorando a stretto contatto con Ving per rimediare ai sistemi interessati in un numero limitato di hotel”, ha affermato il portavoce.
I ricercatori hanno esortato gli edifici che utilizzano le serrature delle porte ad aggiornarsi il prima possibile.
