C’è un fantasma in albergo: le chiavi delle camere possono essere create da zero

I ricercatori di F-Secure hanno scoperto che le chiavi possono essere hackerate per ottenere accesso a qualsiasi stanza

Autore: Redazione ImpresaCity

Quando si dice il passepartout. Ci hanno pensato i ricercatori di F-Secure a scoprire che gli hotel, soprattutto quelli delle grandi catene mondiali, utilizzano un sistema elettronico di chiusura che potrebbe essere sfruttato per ottenere accesso a qualsiasi stanza.

La falla di progettazione scoperta nel software del sistema di chiusura noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.

L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata: usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.

Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.

Naturalmente, dichiara F-Secure, nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che gli strumenti non saranno resi disponibili.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.