C’è un fantasma in albergo: le chiavi delle camere possono essere create da zero
I ricercatori di F-Secure hanno scoperto che le chiavi possono essere hackerate per ottenere accesso a qualsiasi stanza
Quando si dice il passepartout. Ci hanno pensato i ricercatori di F-Secure a scoprire che gli hotel, soprattutto quelli delle grandi catene mondiali, utilizzano un sistema elettronico di chiusura che potrebbe essere sfruttato per ottenere accesso a qualsiasi stanza.
La falla di progettazione scoperta nel software del sistema di chiusura noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.
L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata: usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.
Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.
Naturalmente, dichiara F-Secure, nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che gli strumenti non saranno resi disponibili.
La falla di progettazione scoperta nel software del sistema di chiusura noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.
L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata: usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.
Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.
Naturalmente, dichiara F-Secure, nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che gli strumenti non saranno resi disponibili.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
