freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客发现酒店钥匙卡系统漏洞,可生成任意房门钥匙
2018-04-27 10:30:15

来自F-Secure的两名安全研究人员开发了一种设备,可以读取任何有效甚至过期的酒店钥匙卡,并生成一个可打开任何房间门或授予攻击者进入安全酒店区域的主钥匙。

该设备利用世界上最大制造商Assa Abloy构建的流行酒店锁定系统中的漏洞,该系统也是全球应用范围最广的钥匙卡系统之一,VingCard声称它已经安装在40,000多家酒店、汽车旅馆和其他酒店业。

d0c7d47fb71f7a7.jpg

设备利用流行的钥匙卡系统中的软件漏洞

由两位研究人员Tomi Tuominen和Timo Hirvonen创建的设备,通过读取钥匙卡的RFID信号,然后利用Vision系统中发现的软件漏洞生成其他钥匙卡代码。

软件程序在设备上运行,直到设备生成可打开在酒店部署的所有门的主密钥,这通常只需要几秒到几分钟。

Tuominen和Hirvonen表示,他们不一定需要扫描有效的钥匙卡,尽管者并不难,不过通常顾客只会在酒店住宿一晚。即使过期的钥匙卡已经足够提取有效的信息,两位研究员表示。

自2003年以来,研究人员一直在研究这个问题,当时一名小偷从柏林的一家酒店房间偷走了一名研究人员的笔记本电脑。

门没有出现任何强制进入的迹象,酒店的钥匙卡软件日志没有任何其他证据。这激起了研究人员对这个问题的兴趣,于是他们将注意力转向酒店使用的数字锁定系统。

b29c6dacb3d8d4d.png

研究人员联合Assa Abloy修复漏洞

对此,旅客无需担心,因为他们并不打算发布任何细节或设备细节,原因很明显,因为很可能会被盗用从事非法活动。

在发现这个漏洞之后,Tuominen和Hirvonen自2017年4月起与Assa Abloy一起解决了这个问题,并发布了补丁。

“由于Assa Abloy的积极态度,和我们一起解决了研究中发现的问题,酒店业现在是一个更安全的地方,”Tuominen说。“我们敦促任何使用此软件的企业尽快应用更新。”

尽管问题已经修复,但研究人员仍然不会公布该漏洞利用的具体细节,毕竟还有很多酒店设施并没有即使打上补丁,还存在一定的风险。

*参考来源:BleepingComputer,由Andy编译,转载请注明来自FreeBuf.COM

# 黑客 # 酒店门卡
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者