April 25, 2018 |

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

Helsingfors, FInland – 25 april, 2018: Forskare på F-Secure har hittat sårbarheter i elektroniska nyckelkort som används av hotellkedjor och hotell världen över. Dessa har kunnat utnyttjas för att få tillgång till vilket rum som helst i byggnaden. Bristerna har påträffats i mjukvaran som styr låssystemet, Vision by VingCard.

Denna mjukvara används för att säkra miljontals elektroniska lås världen över och F-Secure-forskarnas upptäckt har fått låstillverkaren Assa Abloy att skicka ut uppdateringar med säkerhetsåtgärder för att hantera problemet.

Forskarnas attack utgick från en vanlig elektronisk nyckel till fastigheten, oavsett om den var aktiv eller sedan länge gått ut, oavsett om den gett tillgång till andra utrymmen som garage eller förvaringsrum och garderober. Genom att använda befintlig information på nyckelkortet kunde forskarna skapa en huvudnyckel med behörighet att öppna vilket rum som helst i huset. Attacken kunde dessutom genomföras utan att något säkerhetssystem reagerade.

“Tänk dig vad en person med skadligt uppsåt kan göra med huvudnyckel som kan öppna vilket hotellrum som helst genom att skapa en elektronisk nyckel, praktiskt taget ur tomma intet,” säger Tomi Tuominen, Practice Leader på F-Secure Cyber Security Services. “I nuläget känner vi inte till om det finns någon annan som utför den här attacken ute i det fria just nu.”

Forskarnas intresse för att hacka elektroniska lås på hotell väcktes för drygt tio år sedan, när en kollegas bärbara dator blev stulen ur ett hotellrum under en säkerhetskonferens. När personen vars dator blivit stulen rapporterade händelsen till hotellpersonalen menade de att det varken fanns några tecken på att någon försökt bryta sig in i rummet eller några bevis på att någon obehörig tagit sig in i loggarna från låssystemets mjukvara.

Forskarnas nyfikenhet gjorde att de valde att utforska detta vidare, och de valde att rikta in sig på en tillverkare som är känd för hög kvalitet och säkerhet. Och de säkerhetsluckor de upptäckte och byggde sin attack kring är inte uppenbara hål. Det krävdes en grundlig genomgång av och en gedigen kunskap om hela systemets design för att identifiera de små sårbarheter som tillsammans utgör själva attacken. Arbetet har tagit åtskilliga tusental timmar i anspråk, fördelat över flera år och har involverat en stor del trial and error.

”Vi ville ta reda på om det gick att ta sig förbi det elektroniska låset utan att lämna några spår, säger Timo Hirvonen, Senior Security Consultant på F-Secure.”Att bygga ett säkert system för åtkomsthantering är mycket komplicerat eftersom det bygger på att många olika saker måste fungera samtidigt. Det var först efter att vi verkligen förstod hur allt var uppbyggt och utformat som vi kunde hitta de här till synes ofarliga säkerhetsluckorna. Och genom att kombinera dem kunde vi komma fram till en metod där vi kunde skapa huvudnycklar, utan att lämna några spår.”

F- Secure meddelade Assa Abloy om sina upptäckter och har samarbetat med låsleverantören under det senaste året för att implementera uppdateringar av mjukvaran. Uppdateringarna har gjorts tillgängliga för fastigheter som drabbats.

”Jag vill särskilt tacka Assa Abloys utvecklingsteam för deras utmärkta samarbete för att fixa de här säkerhetsluckorna,” säger Tomi Tuominen. ”Tack vare deras ihärdighet och starka vilja att ta itu med de problem som vi identifierade i vår forskning är hotellvärlden nu en säkrare plats. Vi uppmanar alla verksamheter som använder det här elektroniska låssystemet att installera dessa uppdateringar så snart som möjligt.”

OBS Inga verkliga hotellrum exploaterades under forsknings- och analysarbetet. Verktygen som används för att skapa huvudnycklarna kommer inte göras tillgängliga.

Mer information
Electronic Lock Systems are Vulnerable
Researchers Find Way to Generate Master Keys to Hotels

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Presskontakt

Adam Erlandsson
Cohn & Wolfe för F-Secure
+46 735 18 24 80
adam.erlandsson@cohnwolfe.com

Pressarkiv
Välj år

Senaste pressmeddelandena

November 13, 2019

MITRE ATT&CK-utvärderingen: F-Secure är branschledande i att upptäcka avancerade attacker

Resultaten fastställer att F-Secures EDR-teknik är en bra grund att bygga upp en Detection & Response-tjänst på. Cybersäkerhetsleverantören F-Secure har med bravur slutfört den första omgång av MITRE ATT&CK™-utvärderingen. Testet jämför hur leverantörernas Endpoint Detection & Response förmågor står emot tekniker som används av Advanced Persistent Threat, APT, grupper. Testet bekräftar att F-Secures kapacitet att […]

November 4, 2019

Nu skyddar F-Secure även dig i sociala medier

F-Secure och SomeBuddy har inlett ett samarbete som ger F-Secure TOTAL-kunder möjlighet att dra nytta av en digital juridisk tjänst med specialisering på sociala medier. SomeBuddy erbjuder en lägre tröskel för att söka juridisk hjälp vid näthat och problem på sociala medier, så som mobbning, hot, trakasserier eller spridning av ens privata uppgifter. F-Secure och […]

May 6, 2019

Sårbarhetshantering förhindrar dataintrång – ändå väntar många tills det är försent

Den genomsnittliga totala kostnaden för ett dataintrång är 3,86 miljoner dollar och de flesta dataintrång hade kunnat förhindras genom att företag skannar sin miljö efter sårbarheter. Ändå väntar många företag tills de blivit utsatta för dataintrång innan de tar tag i problemet, varför?

March 28, 2019

F-Secure – från leverantör till partner i säkerhet

Säkerhetsföretaget F-Secure är inne i en expansiv fas. De har uppdaterat sin produktportfölj där utbudet av tjänster är bredare än någonsin. Nya Sverige-chefen Fredrik Sjöberg är hemvändaren, som efter fem år i partnerkanalen, ska lotsa verksamheten in i framtiden.

%d bloggers like this: