События

Исследователи создали мастер-ключ от миллионов гостиничных номеров

Исследователи создали мастер-ключ от миллионов гостиничных номеров

В популярной системе управления электронными гостиничными замками Vision by VingCard от компании Assa Abloy обнаружена уязвимость, позволяющая хакерам создать мастер-ключ и беспрепятственно открыть миллионы гостиничных номеров по всему миру.

Assa Abloy является крупнейшим в мире производителем электронных замков для гостиниц – Vision by VingCard используется в более 42 тыс. отелей в 166 странах.

Исследователям компании F-Secure Томи Туоминен (Tomi Tuominen) и Тимо Хирвонен (Timo Hirvonen) удалось создать мастер-ключ, позволяющий открыть любой гостиничный номер, где используются электронные замки Vision by VingCard, не оставляя никаких следов в системе.

Для того чтобы изготовить универсальный «ключ от всех дверей», злоумышленник должен обзавестись электронной картой-ключом от любого номера в интересующем его отеле (карта может быть устаревшей или недействительной).

Для получения электронного ключа (RFID или магнитной ленты) ему нужно подойти на достаточное расстояние к одному из постояльцев или сотрудников отеля, у которых при себе есть действительная карта. Более простой способ – заказать номер в нужном отеле, а затем использовать полученную карту в качестве основы.

За несколько сотен долларов злоумышленник может купить в интернете специальное устройство для программирования ключей и с его помощью создать мастер-ключ. Правда, исследователи из F-Secure использовали собственное программное обеспечение, благодаря которому этот трюк стал возможным. По понятным причинам исследователи не станут публиковать свое ПО.

Далее злоумышленник должен приложить к замку нужного гостиничного номера кастомизированное устройство для чтения/записи RFID, которое методом перебора (занимает всего одну минуту) определяет подходящий мастер-ключ и открывает дверь. Злоумышленник может либо дальше использовать RFID-устройство, либо записать полученный мастер-ключ на имеющуюся у него карту-ключ.

Исследователи сообщили производителю об обнаруженной уязвимости в апреле 2017 года и в течение года работали над ее исправлением. Компания Assa Abloy реализовала патч в своих замках в феврале 2018 года. Обновление также доступно для отелей, использующих уязвимые системы.

F-Secure пока не раскрывает технические подробности об уязвимости. Никаких свидетельств ее эксплуатации в реальных атаках обнаружено не было.

Источник

Автор: Сергей Куприянов
26.04.2018 (15:48)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.