C’è un fantasma in albergo: le chiavi delle camere possono essere create da zero

I ricercatori di F-Secure hanno scoperto che le chiavi possono essere hackerate per ottenere accesso a qualsiasi stanza

Sicurezza
Quando si dice il passepartout. Ci hanno pensato i ricercatori di F-Secure a scoprire che gli hotel, soprattutto quelli delle grandi catene mondiali, utilizzano un sistema elettronico di chiusura che potrebbe essere sfruttato per ottenere accesso a qualsiasi stanza.

La falla di progettazione scoperta nel software del sistema di chiusura noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.

L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata: usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.

Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.

Naturalmente, dichiara F-Secure, nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che gli strumenti non saranno resi disponibili.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Webinar

Attacco al cloud, così stanno sabotando la ripartenza. Correre ai ripari, evitare rischi

Speciale

Obiettivo PMI Italiane

Speciale

Stampa gestita: il servizio conquista

Speciale

HPE Innovation Lab NEXT: ripartire con la co-innovazione

Webinar

La cyber security agile per la nuova IT

Calendario Tutto

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori