黑客找到闯入智能房卡酒店房间路线

一名F-Secure研究员在柏林参加信息安全会议时，他的笔记本电脑从他的酒店房间被盗。由于没有强行进入的迹象，酒店工作人员认为研究人员失踪或说谎。这一事件引起了两位研究人员同事蒂莫·希尔沃宁和孙铁麟·图奥米宁的兴趣，他们将注意力转向了酒店使用的数字锁定系统。

大多数酒店(尤其是高端或连锁酒店)使用某种形式的电子锁系统。接待员可以提供廉价的一次性钥匙卡，而不是分发实体钥匙。这些钥匙卡基于射频识别技术。F-Secure的研究人员将他们的注意力转向由世界上最大的制造商阿萨·阿布洛伊制造的受欢迎的酒店锁系统。

安全部队非常欣赏阿萨洛比。在博客文章中，它称其为“一个高质量的品牌”，并表示其锁因其质量和安全性而闻名。然而，这并没有阻止他们发现底层软件(由第三方公司VingCard开发，名为“视觉”)中的漏洞，这将允许入侵者访问特定系统中的每个房间。

F-Secure在一份声明中表示:“从字面上讲，任何钥匙都可以满足要求，无论是房间钥匙、储物柜钥匙还是车库钥匙。更糟的是，钥匙现在甚至不需要激活。该公司表示，“即使是五年前停产的过期钥匙也能工作。使用一些专门的硬件，花费“数百欧元”和一些定制的软件在互联网上，攻击者可以分析密钥并使用计算过程来确定主密钥。

然后，攻击者可以使用该设备无障碍地进入酒店的任何房间。或者，他们可以把它印在一张空白的钥匙卡上，然后传给他们的同伙。据F-Secure称，这种攻击适用于磁条和更复杂的RFID酒店钥匙卡。

在发现缺陷后，联邦安全局去年通知了阿萨·阿布洛伊，并悄悄地与瑞典公司合作解决问题。修复已创建并发布到受影响的酒店。安全将不会发布任何代码或漏洞的全部细节。这是明智的，因为一些酒店房间的锁系统可能没有打补丁，所以仍然存在风险。