駭客找到闖入酒店房間的迂回路線

一名F-Secure研究人員在柏林參加資訊安全會議時，其筆記型電腦被從酒店房間偷走，由於沒有強行進入的跡象，酒店工作人員認為該研究人員自己存在失或說謊。這一事件激起了研究人員的兩位同事Timo Hirvonen和Tomi Tuominen的興趣，

將注意力轉向酒店使用的數位鎖定系統。

大多數酒店（特別是高端或連鎖酒店）使用某種形式的電子鎖系統。接待員可以為客人提供便宜的一次性鑰匙卡，而不是分發實物鑰匙。這些鑰匙卡基於RFID技術。F-Secure的研究人員將注意力轉向由世界上最大製造商Assa Abloy構建的流行酒店鎖定系統。

F-Secure對Assa Abloy非常讚賞。在博客文章中，它將其描述為“高品質的品牌”，並表示其鎖具以品質和安全著稱。

但是這並沒有阻止他們發現底層軟體（稱為Vision，由協力廠商公司VingCard開發）的漏洞，這會讓入侵者訪問特定系統中的每個房間。

F-Secure在一份聲明中表示：“從字面上看，任何鑰匙都可以滿足要求，無論是房間鑰匙還是儲物櫃或車庫的鑰匙。更糟糕的是，金鑰甚至不需要現在處於活動狀態。該公司表示，“即使是五年前停產的過期鑰匙也能起作用。”使用一些專門的硬體，

在網上花費“幾百歐元”和一些定制軟體，攻擊者可以分析該金鑰並使用計算過程確定主金鑰。

然後攻擊者可以使用該設備訪問屬性中的任何房間而不受阻礙。或者，他們可以將其印在空白的鑰匙卡上，並將其傳遞給同謀。據F-Secure稱，這種攻擊既適用於磁條，也適用於更複雜的RFID酒店鑰匙卡。

在發現這個漏洞之後，F-Secure去年通知了Assa Abloy，並悄悄與瑞典公司合作解決了這個問題。

修復已創建並發佈給受影響的酒店。F-Secure不會發佈任何代碼或漏洞的完整詳細資訊。這是明智的，因為一些酒店客房鎖定系統可能沒有實施補丁，因此仍然存在風險。