Hack od F-Secure dokáže otevřít miliony hotelových pokojů
27.4.2018, Jan Vítek, aktualita
Pouze nenápadné zařízení, které se vejde do kapsy může být snadno použito pro otevření elektronických zámků milionů hotelových dveří. Přišli s ním lidé společnosti F-Secure, která se právě zabývá bezpečností.
Především větší hotely dnes už dávno nepoužívají normální zámky pro klíče. Hosté namísto nich dostanou prostou plastovou kartičku, již pouze přiloží k zámku a otevřou si. Jako elektronické zařízení využívající čtečku čipu v kartě je to zároveň i zařízení, které lze ošálit, jak předvedli bezpečnostní experti z F-Secure. Ti navíc byli schopni vytvořit rovnou univerzální klíč, který by tak dokázal otevřít jakýkoliv pokoj v daném hotelu. To by se to kradlo.
Ostatně na začátku toho všeho stála krádež notebooku z hotelového pokoje právě jednoho zaměstnance F-Secure. To přimělo jeho kolegy zamyslet se nad tím, jak složité bude hacknout elektronické klíče, a tak se do toho sami pustili, ačkoliv, a to zdůrazňují, to nespadá do zaměření jejich firmy.
Konkrétně zkusili prolomit ochranu Vision systému VingCard od švédské společnosti Assa Abloy, který je používán ve více než 42 tisících objektech ve 166 zemích, což dohromady dává miliony hotelových pokojů.
Zařízení se skládá jednak z malého počítače do ruky napojeného na RFID čtečku, které by rovněž mohlo fungovat se staršími kartami využívajícími magnetické proužky. K tomuto svému zařízení už výzkumníci potřebovali pouze nějakou kartu ke dveřím z daného hotelu, která ani nemusí být zaktivována. I tak obsahuje data pro vygenerování klíčů pro otevření dveří, a to i s plnými privilegii, takže nejen hotelových dveří, ale také uzamčených výtahů nebo místností pouze pro zaměstance.
"You can imagine what a malicious person could do with the power to enter any hotel room, with a master key created basically out of thin air." - @tomituominen https://t.co/N3ZRRtFhtD pic.twitter.com/j5y0zUGvpV
— F-Secure (@FSecure) 25. dubna 2018
Společnost F-Secure se o tomto hacku už v minulém roce podělila s Assa Abloy, takže této firmě dala dost času na reakci a ta už přišla se softwarovým patchem, jenž by měl bezpečnostní díru vyřešit. Zákazníci už jej mají k dispozici, ale to je právě zásadní problém. Každý jednotlivý zámek bude muset získat aktualizovaný firmware a lze si představit, že rozhodně ne každý hotel to provede. Dobré tak je, že F-Secure si svůj hackovací systém ponechali v tajnosti.
Zdroj: Extremetech
