駭客找到闖入酒店房間的迂回路線
一名F-Secure研究人員在柏林參加資訊安全會議時,其筆記型電腦被從酒店房間偷走,由於沒有強行進入的跡象,酒店工作人員認為該研究人員自己存在失或說謊。這一事件激起了研究人員的兩位同事Timo Hirvonen和Tomi Tuominen的興趣,
大多數酒店(特別是高端或連鎖酒店)使用某種形式的電子鎖系統。接待員可以為客人提供便宜的一次性鑰匙卡,而不是分發實物鑰匙。這些鑰匙卡基於RFID技術。F-Secure的研究人員將注意力轉向由世界上最大製造商Assa Abloy構建的流行酒店鎖定系統。
F-Secure對Assa Abloy非常讚賞。在博客文章中,它將其描述為“高品質的品牌”,並表示其鎖具以品質和安全著稱。
F-Secure在一份聲明中表示:“從字面上看,任何鑰匙都可以滿足要求,無論是房間鑰匙還是儲物櫃或車庫的鑰匙。更糟糕的是,金鑰甚至不需要現在處於活動狀態。該公司表示,“即使是五年前停產的過期鑰匙也能起作用。”使用一些專門的硬體,
然後攻擊者可以使用該設備訪問屬性中的任何房間而不受阻礙。或者,他們可以將其印在空白的鑰匙卡上,並將其傳遞給同謀。據F-Secure稱,這種攻擊既適用於磁條,也適用於更複雜的RFID酒店鑰匙卡。
在發現這個漏洞之後,F-Secure去年通知了Assa Abloy,並悄悄與瑞典公司合作解決了這個問題。