一名F-Secure研究人員在柏林參加資訊安全會議時, 其筆記型電腦被從酒店房間偷走, 由於沒有強行進入的跡象, 酒店工作人員認為該研究人員自己存在失或說謊。 這一事件激起了研究人員的兩位同事Timo Hirvonen和Tomi Tuominen的興趣, 將注意力轉向酒店使用的數位鎖定系統。
大多數酒店(特別是高端或連鎖酒店)使用某種形式的電子鎖系統。 接待員可以為客人提供便宜的一次性鑰匙卡, 而不是分發實物鑰匙。 這些鑰匙卡基於RFID技術。 F-Secure的研究人員將注意力轉向由世界上最大製造商Assa Abloy構建的流行酒店鎖定系統。
F-Secure對Assa Abloy非常讚賞。
F-Secure在一份聲明中表示:“從字面上看, 任何鑰匙都可以滿足要求, 無論是房間鑰匙還是儲物櫃或車庫的鑰匙。 更糟糕的是, 金鑰甚至不需要現在處於活動狀態。 該公司表示, “即使是五年前停產的過期鑰匙也能起作用。 ”使用一些專門的硬體, 在網上花費“幾百歐元”和一些定制軟體, 攻擊者可以分析該金鑰並使用計算過程確定主金鑰。
然後攻擊者可以使用該設備訪問屬性中的任何房間而不受阻礙。 或者, 他們可以將其印在空白的鑰匙卡上,
在發現這個漏洞之後, F-Secure去年通知了Assa Abloy, 並悄悄與瑞典公司合作解決了這個問題。 修復已創建並發佈給受影響的酒店。 F-Secure不會發佈任何代碼或漏洞的完整詳細資訊。 這是明智的, 因為一些酒店客房鎖定系統可能沒有實施補丁, 因此仍然存在風險。
