住星級酒店時，你是否知道房門的電子門鎖可能會被駭客輕鬆破解

據電子商務時報報導，近日F-Secure的研究人員發現，來自Assa Abloy公司的電子酒店門鎖上的缺陷可能會讓駭客輕鬆進入使用該門鎖的場所。

在中國範圍來說，天津四季酒店、北京國貿大酒店、澳門路氹永利皇宮等都是Assa Abloy的客戶。在F-Secure通知Assa Abloy之後，該漏洞已被修復。

F-Secure的研究人員已經找到了一種方法，可以利用從任何房間的鑰匙卡上獲取的資訊，來製作出一把鑰匙。這包括壁櫥、車庫，甚至是長期過期或已丟棄的鑰匙卡。這種方法可以讓駭客在不被注意的情況下進行攻擊。

在2003年的一次安全會議上，一名同事的筆記型電腦被盜，研究人員開始調查這個問題。這些年來，研究人員花了數千個小時，斷斷續續地調查這一事件，他們最終鎖定了目標。

“只有當我們徹底瞭解了這個系統是如何設計的之後，

我們才能夠識別出看似無害的缺點”F-Secure高級安全顧問蒂莫·赫弗農(Timo Hirvonen)說。“我們創造性地將這些缺點結合起來，提出了一種創建電子鑰匙的方法。”

據該公司稱，在研究期間，沒有任何酒店房間被破壞，該漏洞僅適用於Assa Abloy公司VingCard產品的視覺效果。他指出，多種因素會影響電子門鎖的有效性，而加密是用來保護鑰匙卡上資料的機密性。加密技術提高了對系統的分析能力。然而，加密不是萬能的，

加密金鑰必須安全生成和存儲。

萬豪國際(Marriott International)證實，Assa Abloy將該公司鎖定系統的漏洞通報了酒店。發言人亨特·哈德吉說：“我們目前正在與供應商合作，瞭解對我們酒店的影響”。並補充說，該公司已收到Assa Abloy發佈的軟體補丁，並正在努力儘快部署該補丁。

庫德斯基安全公司首席技術官安德魯·霍華德(Andrew Howard)說，駭客攻擊是基於老舊門鎖的加密缺陷。這種漏洞使得駭客工具可以通過潛在的門禁密碼進行迴圈，直到找到合適的密碼。

類似的報導其實一直都有。就在去年，紐約州總檢察長埃裡克·施耐德曼(Eric Schneiderman)與Safetech產品達成協議，指控其藍牙掛鎖和無線門鎖不安全。研究人員發現，該公司將密碼資訊從鎖發送到手機，而無需加密，而這些鎖上的預設密碼很容易使用暴力破解。

2016年，密西根大學(University of Michigan)與微軟合作的研究人員發現，三星SmartThings物聯網系統存在漏洞。它允許他們在電子門鎖上使用大頭針，並利用一個智慧應用程式來創建一個備用的門鑰匙。最後該團隊通知了三星，並與該公司合作解決了這些缺陷。