April 25, 2018 |

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

Helsingfors, FInland – 25 april, 2018: Forskare på F-Secure har hittat sårbarheter i elektroniska nyckelkort som används av hotellkedjor och hotell världen över. Dessa har kunnat utnyttjas för att få tillgång till vilket rum som helst i byggnaden. Bristerna har påträffats i mjukvaran som styr låssystemet, Vision by VingCard.

Denna mjukvara används för att säkra miljontals elektroniska lås världen över och F-Secure-forskarnas upptäckt har fått låstillverkaren Assa Abloy att skicka ut uppdateringar med säkerhetsåtgärder för att hantera problemet.

Forskarnas attack utgick från en vanlig elektronisk nyckel till fastigheten, oavsett om den var aktiv eller sedan länge gått ut, oavsett om den gett tillgång till andra utrymmen som garage eller förvaringsrum och garderober. Genom att använda befintlig information på nyckelkortet kunde forskarna skapa en huvudnyckel med behörighet att öppna vilket rum som helst i huset. Attacken kunde dessutom genomföras utan att något säkerhetssystem reagerade.

“Tänk dig vad en person med skadligt uppsåt kan göra med huvudnyckel som kan öppna vilket hotellrum som helst genom att skapa en elektronisk nyckel, praktiskt taget ur tomma intet,” säger Tomi Tuominen, Practice Leader på F-Secure Cyber Security Services. “I nuläget känner vi inte till om det finns någon annan som utför den här attacken ute i det fria just nu.”

Forskarnas intresse för att hacka elektroniska lås på hotell väcktes för drygt tio år sedan, när en kollegas bärbara dator blev stulen ur ett hotellrum under en säkerhetskonferens. När personen vars dator blivit stulen rapporterade händelsen till hotellpersonalen menade de att det varken fanns några tecken på att någon försökt bryta sig in i rummet eller några bevis på att någon obehörig tagit sig in i loggarna från låssystemets mjukvara.

Forskarnas nyfikenhet gjorde att de valde att utforska detta vidare, och de valde att rikta in sig på en tillverkare som är känd för hög kvalitet och säkerhet. Och de säkerhetsluckor de upptäckte och byggde sin attack kring är inte uppenbara hål. Det krävdes en grundlig genomgång av och en gedigen kunskap om hela systemets design för att identifiera de små sårbarheter som tillsammans utgör själva attacken. Arbetet har tagit åtskilliga tusental timmar i anspråk, fördelat över flera år och har involverat en stor del trial and error.

”Vi ville ta reda på om det gick att ta sig förbi det elektroniska låset utan att lämna några spår, säger Timo Hirvonen, Senior Security Consultant på F-Secure.”Att bygga ett säkert system för åtkomsthantering är mycket komplicerat eftersom det bygger på att många olika saker måste fungera samtidigt. Det var först efter att vi verkligen förstod hur allt var uppbyggt och utformat som vi kunde hitta de här till synes ofarliga säkerhetsluckorna. Och genom att kombinera dem kunde vi komma fram till en metod där vi kunde skapa huvudnycklar, utan att lämna några spår.”

F- Secure meddelade Assa Abloy om sina upptäckter och har samarbetat med låsleverantören under det senaste året för att implementera uppdateringar av mjukvaran. Uppdateringarna har gjorts tillgängliga för fastigheter som drabbats.

”Jag vill särskilt tacka Assa Abloys utvecklingsteam för deras utmärkta samarbete för att fixa de här säkerhetsluckorna,” säger Tomi Tuominen. ”Tack vare deras ihärdighet och starka vilja att ta itu med de problem som vi identifierade i vår forskning är hotellvärlden nu en säkrare plats. Vi uppmanar alla verksamheter som använder det här elektroniska låssystemet att installera dessa uppdateringar så snart som möjligt.”

OBS Inga verkliga hotellrum exploaterades under forsknings- och analysarbetet. Verktygen som används för att skapa huvudnycklarna kommer inte göras tillgängliga.

Mer information
Electronic Lock Systems are Vulnerable
Researchers Find Way to Generate Master Keys to Hotels

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Presskontakt

Adam Erlandsson
Cohn & Wolfe för F-Secure
+46 735 18 24 80
adam.erlandsson@cohnwolfe.com

Senaste händelser
Pressarkiv
Välj år

Senaste pressmeddelandena

May 17, 2018

F-Secure kombinerar det bästa av människa och maskin i ny säkerhetslösning

I nya Rapid Detection & Response har F-Secure kombinerat de fördelar artificiell intelligens har att erbjuda med mänsklig expertis för att ge företag och organisationer viktiga fördelar i kampen mot riktade attacker.

April 25, 2018

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

April 9, 2018

F-Secure lär ut digitalt självförsvar till demokratikämpar på Defenders’ Days

Tillsammans med Civil Rights Defenders ska F-Secures säkerhetsexperter dela med sig av konkreta tips och handfasta råd under årets Defenders’ Days.

March 22, 2018

F-Secure lanserar unik partnerdriven tjänst för att sätta stopp för riktade cyberattacker

Den nya tjänsten innebär enorma möjligheter för kanalpartners att skydda sina kunder från de allt vanligare riktade och fillösa attackerna, med en ledande lösning för upptäckt och respons. Helsingfors, Finland – 19 mars, 2018: Företag världen över drabbas av riktade attacker och så kallade fillösa attacker (som agerar och existerar i arbetsminnet och inte lämnar […]

%d bloggers like this: