(afbeelding: F-Secure / meegeleverd)
Security onderzoekers hebben een master key die een ontwerpfout in een populaire en veel gebruikte hotel elektronisch slot systeem exploiteert gebouwd, waardoor onbelemmerde toegang tot elke kamer in het gebouw.
het elektronische sluitsysteem, bekend als Vision by VingCard en gebouwd door de Zweedse sluisfabrikant Assa Abloy, wordt gebruikt in meer dan 42.000 panden in 166 landen, goed voor miljoenen hotelkamers, evenals garages en opslageenheden.
deze elektronische sluitsystemen zijn gebruikelijk in hotels, die door het personeel worden gebruikt om de locatie van een persoon in een hotel-zoals zijn kamer-te regelen en zelfs de verdieping te beperken waar de lift stopt. En deze sleutels kunnen worden gewist en hergebruikt bij het uitchecken.
het blijkt dat deze sleutelkaarten niet zo veilig zijn als eerst gedacht.F-Secure ‘ s Tomi Tuominen en Timo Hirvonen, die het werk uitvoerden, zeiden dat ze een hoofdsleutel konden maken “in principe uit het niets.”
elke sleutelkaart is voldoende. Zelfs oude en verlopen, of afgedankte sleutels behouden genoeg resterende gegevens om te worden gebruikt in de aanval. Met behulp van een handheld-apparaat met aangepaste software, kunnen de onderzoekers gegevens van een sleutelkaart stelen-hetzij met behulp van draadloze radio-frequency identification (RFID) of de magnetische streep. Dat apparaat manipuleert vervolgens de gestolen sleutelgegevens, die het hotel identificeren, om een toegangstoken te produceren met het hoogste niveau van privileges, die effectief dienen als een hoofdsleutel voor elke kamer in het gebouw.
dit was niet zomaar een poging. Het kostte de onderzoekers meer dan tien jaar werk om hier te komen.
de onderzoekers begonnen hun bypass-inspanningen in 2003 toen de laptop van een collega werd gestolen uit een hotelkamer. Zonder sporen van braak of onbevoegde toegang tot de kamer, zou het hotelpersoneel het incident hebben afgewezen. De onderzoekers gingen op zoek naar een populair merk van smart lock te onderzoeken. In hun woorden, het vinden en bouwen van de hoofdsleutel was verre van gemakkelijk, en nam “enkele duizenden uren werk” op een on-off basis, en met behulp van vallen en opstaan.
” het ontwikkelen van de aanval nam een aanzienlijke hoeveelheid tijd en moeite,” zei Tuominen en Hirvonen, in een e-mail naar ZDNet.
“We bouwden een RFID demo omgeving in 2015 en waren in staat om onze eerste master key voor een echt hotel in maart 2017 te creëren,” zeiden ze. “Als iemand dit fulltime zou doen, zou het waarschijnlijk aanzienlijk minder tijd in beslag nemen.
er was goed nieuws, zeiden de onderzoekers.
” we weten niet of iemand anders het uitvoeren van deze specifieke aanval in het wild op dit moment,” zei de onderzoekers, bagatelliseren het risico voor hotel klanten.
hun ontdekking bracht Assa Abloy ook ertoe een beveiligingspatch vrij te geven om de fouten op te lossen. Volgens hun onthulling tijdlijn, Assa Abloy werd voor het eerst verteld van de kwetsbaarheden een maand later in April 2017, en ontmoette opnieuw meer dan enkele maanden om de gebreken op te lossen.
de software wordt gepatcht op de centrale server, maar de firmware op elk slot moet worden bijgewerkt.
” dit vereist dat iemand fysiek aanwezig is bij het slot,” schreven de onderzoekers.
maar er zijn weinig details beschikbaar over de patch. Een woordvoerder van Assa Abloy niet meerdere e-mails en telefoontjes met het verzoek om commentaar terug te keren. Het bedrijf leverde de patch aan klanten begin 2018, maar het is niet bekend hoeveel hotels de oplossing hebben uitgerold.Verschillende grote hotels, waaronder het Waldorf Astoria in Berlijn, het Grand Hyatt in San Francisco en het Renaissance Downtown in Toronto, zouden klanten zijn van de Zweedse slotenmaker.
we hebben contact opgenomen met vertegenwoordigers van Hyatt en Marriott, maar hebben nog niets gehoord op het moment van publicatie.
een woordvoerder van Hilton zei dat het bedrijf “op de hoogte” was van de kwetsbaarheden.
” de veiligheid en beveiliging van onze gasten zijn van het grootste belang. We werken nauw samen met Ving om getroffen systemen in een beperkt aantal hotels te saneren,” aldus de woordvoerder.
de onderzoekers drongen er bij gebouwen die gebruik maken van de deursloten op aan zo snel mogelijk bij te werken.
