F-Secure avertizează că zeci de mii de încuietori electronice ar putea fi compromise de hackeri
Firma de cercetare din domeniul securității, F-Secure, a descoperit o vulnerabilitate importantă a încuietorilor electronice produse de Assa Abloy, vulnerabilitate care le-a permis să deschidă fără probleme ușile.
F-Secure a dezvăluit miercuri că camerele de hotel din 166 de țări și 40.000 de locații sunt supuse riscului de a fi deblocate și deschise de către hackerii care exploatează software-ul cheilor electronice create de Assa Abloy, care înainte se numea VingCard. Conform cercetătorilor, software-ul care administrează aceste chei, numit Vision, are o vulnerabilitate care permite infractorilor să creeze un Master Key și cu ea să deschidă toate ușile dintr-o clădire, scrie fortune.com.
Pentru a exploata vulnerabilitatea, hackerii au nevoie doar de o cheie. Apoi, folosind un cititor RFID se pot încerca diferite combinații de chei pentru decodarea cardului. conform cercetătorilor, aproximativ 20 de combinații de chei sunt verificate pentru a determina codul pentru Master Key-ul folosit de hotel. Ceea ce este și mai rău este că tot procesul durează doar un minut.
Pentru determinarea Master Key-ului poate fi analizată orice cheie folosită în clădirea respectivă, chiar dacă este una scoasă din uz, expirată sau folosită doar pentru accesul unui garaj sau al unui dulap. Atacul poate fi lansat fără a fi observat, precizează cercetătorii F-Secure, citați de digitaltrends.com.
După obținerea Unui Master Key, aceasta putea fi transferat pe un card si astfel se putea obține, cu ajutorul cardului de acces ce conține Master Key-ul, acces în orice încăpere.
Acest sistem este folosit în principal în industriia hotelieră, iar consumatorii de produse Assa Abloy nu sunt afectați. În plus F-Secure a lucrat împreună cu Assa Abloy pentru a rezolva această vulnerabilitate și pentru a dezvolta actualizări software pentru toate hotelurile afectate.
Sfatul lui Tomi Tuominen, lider în cadrul F-Secure, este că administratorii fiecărei clădiri care folosește software-ul menționat să aplice actualizarea de securitate cât mai curând posibill. Desigur, doar emiterea actualizării nu este sufiecientă, aplicarea ei este necesară pentru ca afacerea lor să fie protejată de această vulnerabilitate.
