F-Secure

Badacze F-Secure odkryli lukę bezpieczeństwa, która pozwala wejść do milionów pokoi hotelowych

  • Badacze F-Secure odkryli lukę bezpieczeństwa, która pozwala wejść do milionów pokoi hotelowyc

Powiększ

Badacze z firmy F-Secure odkryli lukę w elektronicznym systemie zamków wykorzystywanych w hotelach na całym świecie, która pozwala dostać się do dowolnego pomieszczenia w budynku. Błędy konstrukcyjne w oprogramowaniu skłoniły największego na świecie dostawcę zabezpieczeń elektromechanicznych do drzwi, firmę Assa Abloy, do udostępnienia aktualizacji, aby zmniejszyć zagrożenie. 

Potencjalne włamanie, które zasymulowali badacze, może zostać przeprowadzone z użyciem klucza w postaci karty elektronicznej. Nadają się do tego zarówno karty, które już dawno wygasłynie są aktywne, a nawet te wykorzystywane jedynie przy wejściu do garażu czy pomieszczenia sanitarnego. Dane przejęte z karty zbliżeniowej umożliwiły badaczom stworzenie tzw. klucza generalnego (Master Key), otwierającego wszystkie drzwi w hotelu. W dodatku wtargnięcie z użyciem tej metody nie pozostawia jakichkolwiek śladów 
 
Zainteresowanie badaczy dekadę temu wzbudziła kradzież laptopa z pokoju hotelowego, podczas jednej z konferencji poświęconej bezpieczeństwu, w której uczestniczyli. Kradzież została zgłoszona, ale obsługa hotelu oddaliła sprawę, motywując swoją decyzję brakiem jakichkolwiek śladów użycia siły, a nawet pozostawienia zapisów w rejestrze. 
 
Łatwo wyobrazić sobie, jak duże szkody może wyrządzić karta dostępu do każdego miejsca w hotelu, jeżeli trafi w niepowołane ręce. Rozpoczęliśmy badania w tym kierunku, ponieważ sami doświadczyliśmy podobnego problemu 12 lat temu, kiedy skradziono nasz komputer. Na szczęście do tej pory nie dostaliśmy zgłoszenia o innych wtargnięciach – mówi Tomi Tuominenlider globalnej jednostki F-Secure Cyber Security Services. 
 
Poszukiwanie luki stanowiło długotrwały proces, który wymagał dokładnego zaznajomienia się z architekturą całego systemu oraz przeprowadzenia licznych prób, trwających kilka tysięcy godzin. 
 
Firma F-Secure poinformowała Assa Abloy o wykrytej luce i współpracowała z twórcami zabezpieczenia przez ostatni rok, aby udało się wprowadzić konieczne zmiany. Aktualizacja jest już dostępna do pobrania dla wszystkich, którzy wykorzystują ten system zamków.  
 
 Doceniamy zaangażowanie zespołu badań i rozwoju w firmie Assa Abloy oraz ich chęć rozwiązania problemu. Dzięki temu hotele na całym świecie będą teraz bezpieczniejsze. Nalegamy, aby wszyscy, którzy korzystają z opisanych rozwiązań jak najszybciej przeprowadzili stosowną aktualizację podsumowuje Tuominen 
 
Oświadczenie: W trakcie prowadzonych działań badawczych nie podejmowano prób obejścia zabezpieczeń do żadnych publicznie dostępnych pokoi hotelowych. Narzędzia wykorzystane do przeprowadzenia symulacji ataku nie zostaną ujawnione. 

Materiały dodatkowe

wersja do druku Wróć