Amikor hotelszobában pihenünk, második otthonunkként tekintünk a szobára, szerteszét hagyjuk értékes és kevésbe értékes dolgainkat. Ezentúl legalább az értékesebb dolgokat vigyük magunkkal – mert a hotelszoba ajtaját nemcsak a portás, hanem egy külső ember is kinyithatja. A hibát ugyan a gyártó elhárította, a frissítést is kiküldték az ügyfeleknek.

Kritikus tervezési hibának nevezik az F-Secure biztonsági szakemberei azt a bug-ot, amit a világ legnépszerűbb hotelszoba zárgyártójának szoftverében felfedeztek. A hiba a Vision By VingCard zárrendszerben található, ez az Assa Abloy terméke. Eléggé népszerű, a világon 166 országban 42 ezer hotelben használják – ami milliónyi ajtót jelent.

Régi kulcs a kiindulópont

Ahhoz, hogy megalkossák a minden zárat nyitó mesterkulcsot, először szükség van egy régi kulcsra, ami még ha lejárt, akkor is jó. Egy ilyenhez bárki nagyon egyszerűen hozzájuthat, elegendő egy szobát bérelni egy érintett hotelben. Vagy ha erre se lenne pénze a hackernek, akkor egy közeli vendég zsebéből is ki tudja olvasni az adatokat egy RFID olvasó segítségével.

Ezután a kártyát át kell írni a megfelelő szoftverrel, melyen a biztonsági kutatók azért több ezer órát dolgoztak. A működéséhez a speciális szoftverrel telepített RFDI írót és olvasót a kiszemelt ajtó elé kell vinni, ahol különböző virtuális kulcsokat próbálnak ki nagyon gyorsan, amíg megtalálják a mesterkulcsot.

A hibát az F-Secure szakemberei tavaly áprilisban fedezték fel, idén februárban pedig az Assa Abloy minden érintett hotelnek elküldte a hibajavítást – így feltéve, hogy azok frissítik a rendszereket, a támadás mostanra már csak elméleti lehetőség.

A kép forrása az Assa Abloy weboldala.