黑客找到闯入智能房卡酒店房间路线
科普小知识2022-08-02 09:22:04
...
一名F-Secure研究员在柏林参加信息安全会议时,他的笔记本电脑从他的酒店房间被盗。由于没有强行进入的迹象,酒店工作人员认为研究人员失踪或说谎。这一事件引起了两位研究人员同事蒂莫·希尔沃宁和孙铁麟·图奥米宁的兴趣,他们将注意力转向了酒店使用的数字锁定系统。
大多数酒店(尤其是高端或连锁酒店)使用某种形式的电子锁系统。接待员可以提供廉价的一次性钥匙卡,而不是分发实体钥匙。这些钥匙卡基于射频识别技术。F-Secure的研究人员将他们的注意力转向由世界上最大的制造商阿萨·阿布洛伊制造的受欢迎的酒店锁系统。
安全部队非常欣赏阿萨洛比。在博客文章中,它称其为“一个高质量的品牌”,并表示其锁因其质量和安全性而闻名。然而,这并没有阻止他们发现底层软件(由第三方公司VingCard开发,名为“视觉”)中的漏洞,这将允许入侵者访问特定系统中的每个房间。
F-Secure在一份声明中表示:“从字面上讲,任何钥匙都可以满足要求,无论是房间钥匙、储物柜钥匙还是车库钥匙。更糟的是,钥匙现在甚至不需要激活。该公司表示,“即使是五年前停产的过期钥匙也能工作。使用一些专门的硬件,花费“数百欧元”和一些定制的软件在互联网上,攻击者可以分析密钥并使用计算过程来确定主密钥。
然后,攻击者可以使用该设备无障碍地进入酒店的任何房间。或者,他们可以把它印在一张空白的钥匙卡上,然后传给他们的同伙。据F-Secure称,这种攻击适用于磁条和更复杂的RFID酒店钥匙卡。
在发现缺陷后,联邦安全局去年通知了阿萨·阿布洛伊,并悄悄地与瑞典公司合作解决问题。修复已创建并发布到受影响的酒店。安全将不会发布任何代码或漏洞的全部细节。这是明智的,因为一些酒店房间的锁系统可能没有打补丁,所以仍然存在风险。
推荐阅读