新闻快讯
< >

全球4万家酒店面临“万能房卡”威胁

E安全4月27日讯  网络安全公司 F-Secure 两名研究人员发现,知名锁和安防解决方案供应商 Assa Abloy 旗下 VingCard 提供的电子门锁软件 Vision 中存在设计漏洞,全球数百万个酒店房间的电子门锁面临黑客入侵风险。

一卡可开酒店所有房间

这两名研究人员利用该漏洞设计了一种设备,能读有效或过期的酒店房卡,并生成一个主密钥来打开一家酒店的所有房间,或让攻击者进入安全的酒店区域。

研究人员设计出“万能房卡” 全球4万多家酒店受影响-E安全

研究人员指出,全球有166个国家超过4万个酒店、汽车旅馆等在使用这个存在漏洞的软件 Vision。

2003年,某 F-Secure 的研究人员入住德国柏林一家知名酒店后,笔记本电脑被盗,但旅馆人员调查后并未发现任何小偷侵入的痕迹。这起事件引起了托米宁和希尔沃宁的好奇,于是他们开始着手研究在完全不留痕迹的情况下,侵入酒店的电子门锁系统。

尽管劫持和克隆酒店房卡并不是什么新鲜事,但这两名研究人员设计的攻击方式有其特别之处:它允许攻击者在几分钟之内为整个酒店生成一个主密钥,所需的资源就是一张普通的酒店房卡,甚至过期的房卡。

研究人员设计出“万能房卡” 全球4万多家酒店受影响-E安全

研究人员设计的这款设备可以读取电子房卡的 RFID 信号,然后利用 Vision 软件中存在的漏洞生成其它电子房卡的密钥,软件例程会在研究人员设计的这款设备上运行,直到生成可打开酒店的所有房间门的主密钥,这个过程通常只需要几秒钟到几分钟的时间。使用这种方式打开门锁后,不会在酒店房卡软件日志中留下证据。

已发布补丁

发现漏洞后, F-Secure 2017年就已通知 Assa Abloy,目前Vision的漏洞补丁已发布,因部分酒店还需要时间安装补丁,因此不会透露受影响的酒店,以确保将攻击风险降到最低。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。