April 25, 2018 |

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

Helsingfors, FInland – 25 april, 2018: Forskare på F-Secure har hittat sårbarheter i elektroniska nyckelkort som används av hotellkedjor och hotell världen över. Dessa har kunnat utnyttjas för att få tillgång till vilket rum som helst i byggnaden. Bristerna har påträffats i mjukvaran som styr låssystemet, Vision by VingCard.

Denna mjukvara används för att säkra miljontals elektroniska lås världen över och F-Secure-forskarnas upptäckt har fått låstillverkaren Assa Abloy att skicka ut uppdateringar med säkerhetsåtgärder för att hantera problemet.

Forskarnas attack utgick från en vanlig elektronisk nyckel till fastigheten, oavsett om den var aktiv eller sedan länge gått ut, oavsett om den gett tillgång till andra utrymmen som garage eller förvaringsrum och garderober. Genom att använda befintlig information på nyckelkortet kunde forskarna skapa en huvudnyckel med behörighet att öppna vilket rum som helst i huset. Attacken kunde dessutom genomföras utan att något säkerhetssystem reagerade.

“Tänk dig vad en person med skadligt uppsåt kan göra med huvudnyckel som kan öppna vilket hotellrum som helst genom att skapa en elektronisk nyckel, praktiskt taget ur tomma intet,” säger Tomi Tuominen, Practice Leader på F-Secure Cyber Security Services. “I nuläget känner vi inte till om det finns någon annan som utför den här attacken ute i det fria just nu.”

Forskarnas intresse för att hacka elektroniska lås på hotell väcktes för drygt tio år sedan, när en kollegas bärbara dator blev stulen ur ett hotellrum under en säkerhetskonferens. När personen vars dator blivit stulen rapporterade händelsen till hotellpersonalen menade de att det varken fanns några tecken på att någon försökt bryta sig in i rummet eller några bevis på att någon obehörig tagit sig in i loggarna från låssystemets mjukvara.

Forskarnas nyfikenhet gjorde att de valde att utforska detta vidare, och de valde att rikta in sig på en tillverkare som är känd för hög kvalitet och säkerhet. Och de säkerhetsluckor de upptäckte och byggde sin attack kring är inte uppenbara hål. Det krävdes en grundlig genomgång av och en gedigen kunskap om hela systemets design för att identifiera de små sårbarheter som tillsammans utgör själva attacken. Arbetet har tagit åtskilliga tusental timmar i anspråk, fördelat över flera år och har involverat en stor del trial and error.

”Vi ville ta reda på om det gick att ta sig förbi det elektroniska låset utan att lämna några spår, säger Timo Hirvonen, Senior Security Consultant på F-Secure.”Att bygga ett säkert system för åtkomsthantering är mycket komplicerat eftersom det bygger på att många olika saker måste fungera samtidigt. Det var först efter att vi verkligen förstod hur allt var uppbyggt och utformat som vi kunde hitta de här till synes ofarliga säkerhetsluckorna. Och genom att kombinera dem kunde vi komma fram till en metod där vi kunde skapa huvudnycklar, utan att lämna några spår.”

F- Secure meddelade Assa Abloy om sina upptäckter och har samarbetat med låsleverantören under det senaste året för att implementera uppdateringar av mjukvaran. Uppdateringarna har gjorts tillgängliga för fastigheter som drabbats.

”Jag vill särskilt tacka Assa Abloys utvecklingsteam för deras utmärkta samarbete för att fixa de här säkerhetsluckorna,” säger Tomi Tuominen. ”Tack vare deras ihärdighet och starka vilja att ta itu med de problem som vi identifierade i vår forskning är hotellvärlden nu en säkrare plats. Vi uppmanar alla verksamheter som använder det här elektroniska låssystemet att installera dessa uppdateringar så snart som möjligt.”

OBS Inga verkliga hotellrum exploaterades under forsknings- och analysarbetet. Verktygen som används för att skapa huvudnycklarna kommer inte göras tillgängliga.

Mer information
Electronic Lock Systems are Vulnerable
Researchers Find Way to Generate Master Keys to Hotels

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Presskontakt

Adam Erlandsson
Cohn & Wolfe för F-Secure
+46 735 18 24 80
adam.erlandsson@cohnwolfe.com

Pressarkiv
Välj år

Senaste pressmeddelandena

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

December 2, 2019

Därför blir AI omänsklig

F-Secures nya forskningsprojekt tar inspiration från naturen för att ta utnyttjandet av AI till en ny nivå. Cybersäkerhetsleverantören F-Secure har lanserat ett nytt forskningsprojekt för att vidareutveckla de decentraliserade mekanismerna för artificiell intelligens (AI) som för närvarande används inom deras detektions- och responsteknologi. Initiativet, som kallas Project Blackfin, strävar efter att utnyttja tekniker för kollektiv […]

%d bloggers like this: