Logo ImpresaCity.it

C’è un fantasma in albergo: le chiavi delle camere possono essere create da zero

I ricercatori di F-Secure hanno scoperto che le chiavi possono essere hackerate per ottenere accesso a qualsiasi stanza

Redazione Impresacity

Quando si dice il passepartout. Ci hanno pensato i ricercatori di F-Secure a scoprire che gli hotel, soprattutto quelli delle grandi catene mondiali, utilizzano un sistema elettronico di chiusura che potrebbe essere sfruttato per ottenere accesso a qualsiasi stanza.

La falla di progettazione scoperta nel software del sistema di chiusura noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.

L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata: usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.

Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.

Naturalmente, dichiara F-Secure, nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che gli strumenti non saranno resi disponibili.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Se vuoi ricevere le notifiche delle notizie più importanti della giornata iscriviti al canale Telegram di ImpresaCity al link: t.me/impresacity
Pubblicato il: 27/04/2018

Tag: f-secure

Speciali

Speciali

Gli ERP nell’era della trasformazione digitale

Speciali

NetApp Data Driven Academy