Исследователи в области безопасности обнаружили уязвимость в системе гостиничных электронных ключей и сделали мастер-ключ, которым можно открыть любой номер в отеле.
Система электронных замков Vision by VingCard от шведского разработчика Assa Abloy используется в более чем 42 тысячах заведений в 166 странах. Такие замки есть в миллионах гостиничных номеров, а также гаражах и складах.
Система особенно популярна в отелях — с помощью цифрового ключа постояльцы могут попасть только в свой номер и в некоторых случаях даже только на свой этаж. После выселения данные цифрового ключа обнуляются, и он попадает в руки следующего клиента.
Но оказалось, что цифровые гостиничные ключи не так надежны, как кажутся.
Сотрудники компании F-Secure Томи Туоминен и Тимо Хирвонен провели исследование и сообщили, что мастер-ключ ко всем дверям можно создать «буквально из воздуха».
Для этого понадобится любая карточка-ключ. Даже в старых просроченных и деактивированных картах содержится остаточная информация, которую можно использовать для взлома. С помощью мобильного устройства и специальной программы исследователи могут украсть данные с карты — как с магнитной, так и бесконтактной. Устройство обрабатывает украденные данные и определяет, к какому отелю они относятся. Затем оно создает токен доступа с высшим уровнем привилегий — так получается мастер-ключ, который может открыть любой номер.
Мастер-ключ удалось создать не за один вечер — исследование заняло более десяти лет.
Ученые начали предпринимать попытки его создания в 2003 году, когда у одного из их коллег украли из номера ноутбук. Кража произошла без видимых следов взлома, поэтому сотрудники гостиницы не стали разбираться с ситуацией. Тогда исследователи решили изучить популярный бренд умных замков. Другими словами, создание мастер-ключа было нелегким занятием, на которое ушли «тысячи часов» работы методом проб и ошибок.
«Разработка метода взлома отняла у нас много времени и сил, — утверждают ученые. — В 2015 году мы создали демоверсию систему радиочастотной идентификации, а в марте 2017 смогли сделать первый мастер-ключ к реальной гостинице. Если бы кто-то занимался этим как полноценной работой, то у него ушло бы на это гораздо меньше времени».
Но есть и хорошие новости. «Пока что не было ни единого случая подобного взлома», — рассказали исследователи.
Открытие ученых привело к тому, что компания Assa Abloy выпустила обновление для своих умных замков, которое должно закрыть дыру в безопасности. Патч вышел на центральном сервере, однако для устранения уязвимости все равно необходимо обновить прошивку каждого замка.
Обновление появилось в начале 2018 года, однако неизвестно, сколько гостиниц его установило. Среди клиентов Assa Abloy есть такие крупные отели, как Waldorf Astoria в Берлине, Grand Hyatt в Сан-Франциско и Renaissance Downtown в Торонто.
Представители других отелей, например, Hilton, сообщили, что в курсе уязвимостей и работают над их устранением. Ученые же попросили владельцев гостиниц обновить свои замки как можно скорее.
Материалы по теме:
Почему многие люди используют в качестве пароля слово «дракон»
Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе
«Заказать кибератаку теперь не сложнее, чем пиццу в офис»
Уязвимость в Tinder позволяет просматривать фото и действия пользователей
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
-
Пройти курс «Как самозанятому стать ИП»
- 1 Кто такие брокеры данных: где и как они продают информацию
- 2 Wildberries раскритиковал законопроект правительства против мошенничества
- 3 F.A.C.C.T. предупредил о схеме мошенничества с фейковыми повестками от ФСБ
- 4 Apple устранила уязвимость, которая позволяла взломать заблокированный iPhone