黑客找到闯入酒店房间的迂回路线

看点 作者:HackerEye 2018-04-25 18:46:37
一名F-Secure研究人员在柏林参加信息安全会议时,其笔记本电脑被从酒店房间偷走,由于没有强行进入的迹象,酒店工作人员认为该研究人员自己存在失或说谎。这一事件激起了研究人员的两位同事Timo Hirvonen和Tomi Tuominen的兴趣,将注意力转向酒店使用的数字锁定系统。 大多数酒店(特别是高端或连锁酒店)使用某种形式的电子锁系统。接待员可以为客人提供便宜的一次性钥匙卡,而不是分发实物钥匙。这些钥匙卡基于RFID技术。F-Secure的研究人员将注意力转向由世界上最大制造商Assa Abloy构建的流行酒店锁定系统。 F-Secure对Assa Abloy非常赞赏。在博客文章中,它将其描述为“高品质的品牌”,并表示其锁具以质量和安全着称。但是这并没有阻止他们发现底层软件(称为Vision,由第三方公司VingCard开发)的漏洞,这会让入侵者访问特定系统中的每个房间。 F-Secure在一份声明中表示:“从字面上看,任何钥匙都可以满足要求,无论是房间钥匙还是储物柜或车库的钥匙。更糟糕的是,密钥甚至不需要现在处于活动状态。该公司表示,“即使是五年前停产的过期钥匙也能起作用。”使用一些专门的硬件,在网上花费“几百欧元”和一些定制软件,攻击者可以分析该密钥并使用计算过程确定主密钥。 然后攻击者可以使用该设备访问属性中的任何房间而不受阻碍。或者,他们可以将其印在空白的钥匙卡上,并将其传递给同谋。据F-Secure称,这种攻击既适用于磁条,也适用于更复杂的RFID酒店钥匙卡。 在发现这个漏洞之后,F-Secure去年通知了Assa Abloy,并悄悄与瑞典公司合作解决了这个问题。修复已创建并发布给受影响的酒店。F-Secure不会发布任何代码或漏洞的完整详细信息。这是明智的,因为一些酒店客房锁定系统可能没有实施补丁,因此仍然存在风险。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接