Гостиничные дверные замки во всем мире уязвимы для взлома

Исследователи говорят, что недостатки, обнаруженные ими в программном обеспечении оборудования, означают, что они могут создавать «мастер ключи», открывающие номера, не требуя регистрации активности ключа.

Команда компании F-Secure заявила, что работала с разработчиком замков в прошлом году, чтобы внедрить исправление ситуации. Но шведский производитель преуменьшает опасность риска тем отелям, которым еще предстоит установить обновление.

«Vision Software является 20-летним продуктом, который был скомпрометирован через 12 лет и для доказательства этого потребовались тысячи часов интенсивной работы двух сотрудников в F-Secure», заявила пресс-секретарь компании Асса Аблой.

«Эти старые замки представляют собой лишь небольшую долю из тех, которые сегодня используются, и быстро заменяются замками, в которых используются новые технологии».

Она добавила, что отели начали внедрение исправления два месяца назад.

«Цифровые устройства и программное обеспечение всех видов уязвимы для взлома. Однако для того, чтобы исправить уязвимость и создать защищенный продукт большой команде квалифицированных специалистов потребуются годы».

Замки компании Ассы Аблой используются некоторыми из крупнейших в мире гостиничных сетей, включая Intercontinental, Hyatt, Radisson и Sheraton, хотя компания не раскрыла, какие из отелей по-прежнему используют скомпрометированную версию Vision от системы VingCard.

Исследователи F-Secure заявили, что начали расследование после того, как ноутбук их коллеги был украден из гостиничного номера и вор не оставил после себя никаких признаков несанкционированного доступа.

«Мы хотели узнать, можно ли обойти электронный замок, не оставляя следов», объяснил Тимо Хирвонен, описывая эксперимент, названный «Привидения, открывающие замки», «Только после того, как мы полностью разобрались с устройством замка, то смогли определить, казалось бы, безобидные недостатки и придумать метод создания мастер ключей».

Он добавил, что данные, отсканированные с любой выброшенной VingCard, могут быть использованы для взлома, даже если права доступа данной карточки давно истекли или использовались для открытия гаража или других частей данного отеля, а не номера.

Взлом также может быть применен для доступа в другие места отеля, включая отправку лифта на VIP-этаж объекта, если лифт защищен одной и той же системой.

Компания F-Secure заявила, что не раскроет аппаратные и программные средства, которые она использовала для создания своих «мастер ключей».