Szállodaszobák millióit nyitja a mesterkulcs

Amikor hotelszobában pihenünk, második otthonunkként tekintünk a szobára, szerteszét hagyjuk értékes és kevésbe értékes dolgainkat. Ezentúl legalább az értékesebb dolgokat vigyük magunkkal – mert a hotelszoba ajtaját nemcsak a portás, hanem egy külső ember is kinyithatja. A hibát közben a gyártó elhárította, a frissítést is kiküldték az ügyfeleknek. (A kép forrása az Assa Abloy weboldala.)

Kritikus tervezési hibának nevezik az F-Secure biztonsági szakemberei azt a bug-ot, amit a világ legnépszerűbb hotelszoba-zárgyártójának szoftverében felfedeztek. A hiba a Vision By VingCard zárrendszerben található, ez az Assa Abloy terméke. Meglehetősen népszerű, a világ 166 országának 42 ezer szállodájában, ajtók millióit nyitják-zárják vele.

Ahhoz, hogy megalkossák a minden zárat nyitó mesterkulcsot, először is szükség van egy régi kulcsra, ami még ha lejárt, akkor is jó. Egy ilyenhez bárki nagyon egyszerűen hozzájuthat, elegendő szobát bérelni egy érintett hotelben. Vagy ha erre se lenne pénze a hackernek, akkor egy vendég zsebéből is ki tudja olvasni az adatokat egy RFID-olvasó segítségével.

Ezután a kártyát át kell írni a megfelelő szoftverrel, melyen a biztonsági kutatók több ezer órát dolgoztak. A működéséhez a speciális szoftverrel telepített RFDI-írót és olvasót a kiszemelt ajtó elé kell vinni, ahol különböző virtuális kulcsokat próbálnak ki nagyon gyorsan, amíg megtalálják a mesterkulcsot.

A hibát az F-Secure szakemberei tavaly áprilisban fedezték fel, az idén februárban pedig az Assa Abloy minden érintett hotelnek elküldte a hibajavítást – így feltéve, hogy frissítik a rendszereket, a támadás mostanra már csak elméleti lehetőség.