Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
F-Secures researchteam har fundet ud af, at globale hotelkæder samt selvstændige hoteller verden over bruger et elektronisk låsesystem, der kan udnyttes af en hacker til at få adgang til et hvert rum i bygningen. Designfejlen er fundet i et låsesystems software, der er kendt som Vision by VingCard og bruges til at sikre millioner af hotelværelser verden over. Det har resulteret i, at verdens største producent af elektroniske låse, Assa Abloy, har været tvunget til at udstede softwareopdateringer med sikkerhedsrettelser for at mindske problemet.
Efterforskernes angreb indebærer at bruge enhver almindelig elektronisk nøgle til det udvalgte sted, selv en, der er udløbet for længst, er kasseret eller bruges til at få adgang til andre rum som eksempelvis en garage eller et rengøringsskab. Ved hjælp af oplysninger fra nøglekortet kan efterforskerne oprette en masternøgle, der kan åbne ethvert rum i bygningen. Angrebet kan udføres uden at blive bemærket, da det blot vil se ud som om, at et normalt nøglekort er blevet brugt.
"Man kan forestille sig, hvad en ondsindet person kunne gøre med magten til at komme ind på et hvilket som helst hotelværelse, med en masternøgle, der hovedsageligt er skabt ud af ingenting," siger Tomi Tuominen, Practice Leader i F-Secures Cyber Security Services. "Vi ved derfor heller ikke, om andre udfører dette angreb derude lige nu."
Opdatering styrker sikkerheden
Efterforskernes interesse for at hacke hotellåse blev udløst for nogle år siden, da en kollegas bærbare computer blev stjålet fra et hotelværelse under en sikkerhedskonference. Da de rapporterede tyveriet, afviste hotellets personale deres henvendelse, da der ikke var tegn på, at nogen havde tvunget sig adgang til værelset, og der var intet bevis for uautoriseret adgang i værelseslåsens logfiler. Derfor besluttede efterforskerne at undersøge problemet yderligere og valgte at gå efter et mærke af låse kendt for kvalitet og sikkerhed.
"Vi ønskede at finde ud af, om det er muligt at omgå den elektroniske lås uden at efterlade spor," sagde Timo Hirvonen, Senior Security Consultant hos F-Secure. "At bygge et sikkert adgangskontrolsystem er meget kompliceret, fordi der er så mange ting, der skal gøres på en bestemt måde for at fungere optimalt. Først efter at vi havde forstået, hvordan systemet var designet, kunne vi identificere tilsyneladende uskyldige mangler. Vi kombinerede derefter disse mangler for at finde frem til en metode til oprettelse af master nøgler."
F-Secure gav Assa Abloy besked om resultaterne og har samarbejdet med låseproducenten i løbet af det sidste år for at implementere de nødvendige rettelser til softwaren. Opdateringerne er blevet gjort tilgængelige for de berørte hoteller og øvrige ejendomme.
