Ogromna luka bezpieczeństwa pozwala wejść do milionów pokoi hotelowych

Bez krawata

Karta otwierająca zamek do drzwi pokoju hotelowego
Fot. Materiały prasowe F-Secure

Badacze z firmy F-Secure odkryli lukę w elektronicznym systemie zamków wykorzystywanych w hotelach na całym świecie, która pozwala dostać się do dowolnego pomieszczenia w budynku.

Dane przejęte z karty zbliżeniowej umożliwiły badaczom z firmy F-Secure stworzenie tzw. klucza generalnego, otwierającego wszystkie drzwi w hotelu.

Potencjalne włamanie, które zasymulowali badacze, może zostać przeprowadzone z użyciem klucza w postaci karty elektronicznej. Nadają się do tego zarówno karty, które już dawno wygasły, nie są aktywne, a nawet te wykorzystywane jedynie przy wejściu do garażu czy pomieszczenia sanitarnego. Dane przejęte z karty zbliżeniowej umożliwiły badaczom stworzenie tzw. klucza generalnego (Master Key), otwierającego wszystkie drzwi w hotelu. W dodatku wtargnięcie z użyciem tej metody nie pozostawia jakichkolwiek śladów.

Zainteresowanie badaczy dekadę temu wzbudziła kradzież laptopa z pokoju hotelowego, podczas jednej z konferencji poświęconej bezpieczeństwu, w której uczestniczyli. Kradzież została zgłoszona, ale obsługa hotelu oddaliła sprawę, motywując swoją decyzję brakiem jakichkolwiek śladów użycia siły, a nawet pozostawienia zapisów w rejestrze.

– Łatwo wyobrazić sobie, jak duże szkody może wyrządzić karta dostępu do każdego miejsca w hotelu, jeżeli trafi w niepowołane ręce. Rozpoczęliśmy badania w tym kierunku, ponieważ sami doświadczyliśmy podobnego problemu 12 lat temu, kiedy skradziono nasz komputer. Na szczęście do tej pory nie dostaliśmy zgłoszenia o innych wtargnięciach – mówi Tomi Tuominen, lider globalnej jednostki F-Secure Cyber Security Services.

Poszukiwanie luki stanowiło długotrwały proces, który wymagał dokładnego zaznajomienia się z architekturą całego systemu oraz przeprowadzenia licznych prób, trwających kilka tysięcy godzin.

Dostępna jest już aktualizacja przywracająca bezpieczeństwo

Firma F-Secure poinformowała Assa Abloy o wykrytej luce i współpracowała z twórcami zabezpieczenia przez ostatni rok, aby udało się wprowadzić konieczne zmiany. Aktualizacja jest już dostępna do pobrania dla wszystkich, którzy wykorzystują ten system zamków.

– Doceniamy zaangażowanie zespołu badań i rozwoju w firmie Assa Abloy oraz ich chęć rozwiązania problemu. Dzięki temu hotele na całym świecie będą teraz bezpieczniejsze. Nalegamy, aby wszyscy, którzy korzystają z opisanych rozwiązań jak najszybciej przeprowadzili stosowną aktualizację – podsumowuje Tuominen.

W trakcie prowadzonych działań badawczych nie podejmowano prób obejścia zabezpieczeń do żadnych publicznie dostępnych pokoi hotelowych. Narzędzia wykorzystane do przeprowadzenia symulacji ataku nie zostaną ujawnione.

Źródło: Informacja prasowa