网络安全公司 F-Secure 两名研究人员发现,知名锁和安防解决方案供应商 Assa Abloy 旗下 VingCard 提供的电子门锁软件 Vision 中存在设计漏洞,全球数百万个酒店房间的电子门锁面临黑客入侵风险。

一卡可开酒店所有房间

这两名研究人员利用该漏洞设计了一种设备,能读有效或过期的酒店房卡,并生成一个主密钥来打开一家酒店的所有房间,或让攻击者进入安全的酒店区域。

研究人员指出,全球有166个国家超过4万个酒店、汽车旅馆等在使用这个存在漏洞的软件 Vision。

2003年,某 F-Secure 的研究人员入住德国柏林一家知名酒店后,笔记本电脑被盗,但旅馆人员调查后并未发现任何小偷侵入的痕迹。这起事件引起了托米宁和希尔沃宁的好奇,于是他们开始着手研究在完全不留痕迹的情况下,侵入酒店的电子门锁系统。

尽管劫持和克隆酒店房卡并不是什么新鲜事,但这两名研究人员设计的攻击方式有其特别之处:它允许攻击者在几分钟之内为整个酒店生成一个主密钥,所需的资源就是一张普通的酒店房卡,甚至过期的房卡。

研究人员设计的这款设备可以读取电子房卡的 RFID 信号,然后利用 Vision 软件中存在的漏洞生成其它电子房卡的密钥,软件例程会在研究人员设计的这款设备上运行,直到生成可打开酒店的所有房间门的主密钥,这个过程通常只需要几秒钟到几分钟的时间。使用这种方式打开门锁后,不会在酒店房卡软件日志中留下证据。

已发布补丁

发现漏洞后, F-Secure 2017年就已通知 Assa Abloy,目前Vision的漏洞补丁已发布,因部分酒店还需要时间安装补丁,因此不会透露受影响的酒店,以确保将攻击风险降到最低。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。