Исследователи создали мастер-ключ от миллионов гостиничных номеров

image

Теги: уязвимость, Assa Abloy, Vision by VingCard

Создать универсальный «ключ от всех дверей» помогла уязвимость в электронных замках Vision by VingCard от Assa Abloy.

В популярной системе управления электронными гостиничными замками Vision by VingCard от компании Assa Abloy обнаружена уязвимость, позволяющая хакерам создать мастер-ключ и беспрепятственно открыть миллионы гостиничных номеров по всему миру.

Assa Abloy является крупнейшим в мире производителем электронных замков для гостиниц – Vision by VingCard используется в более 42 тыс. отелей в 166 странах.

Исследователям компании F-Secure Томи Туоминен (Tomi Tuominen) и Тимо Хирвонен (Timo Hirvonen) удалось создать мастер-ключ, позволяющий открыть любой гостиничный номер, где используются электронные замки Vision by VingCard, не оставляя никаких следов в системе.

Для того чтобы изготовить универсальный «ключ от всех дверей», злоумышленник должен обзавестись электронной картой-ключом от любого номера в интересующем его отеле (карта может быть устаревшей или недействительной).

Для получения электронного ключа (RFID или магнитной ленты) ему нужно подойти на достаточное расстояние к одному из постояльцев или сотрудников отеля, у которых при себе есть действительная карта. Более простой способ – заказать номер в нужном отеле, а затем использовать полученную карту в качестве основы.

За несколько сотен долларов злоумышленник может купить в интернете специальное устройство для программирования ключей и с его помощью создать мастер-ключ. Правда, исследователи из F-Secure использовали собственное программное обеспечение, благодаря которому этот трюк стал возможным. По понятным причинам исследователи не станут публиковать свое ПО.

Далее злоумышленник должен приложить к замку нужного гостиничного номера кастомизированное устройство для чтения/записи RFID, которое методом перебора (занимает всего одну минуту) определяет подходящий мастер-ключ и открывает дверь. Злоумышленник может либо дальше использовать RFID-устройство, либо записать полученный мастер-ключ на имеющуюся у него карту-ключ.

Исследователи сообщили производителю об обнаруженной уязвимости в апреле 2017 года и в течение года работали над ее исправлением. Компания Assa Abloy реализовала патч в своих замках в феврале 2018 года. Обновление также доступно для отелей, использующих уязвимые системы.

F-Secure пока не раскрывает технические подробности об уязвимости. Никаких свидетельств ее эксплуатации в реальных атаках обнаружено не было.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.