Sikkerhedsfolk bygger masterkey til tusindvis af hotelværelser

Illustration: Pixabay, David Lee
Alt, de behøvede, var et gammelt nøglekort - og masser tid.

Det er lykkedes sikkerhedsforskere fra F-Secure at bygge en masterkey af kodestumper opsnappet fra gamle chipkort. Det knækkede system, Vision by VingCard, er udviklet af det svenske firma Assa Abloy og bruges på mere end 42.000 hoteller i 166 lande.

Det løber op i millioner af hotelrum, som er låst med et system, de to sikkerhedsforskere Tomi Tuominen og Timo Hirvonen potentielt set kan låse op, skriver Zdnet.

Læs også: Forskning: Nye metoder kan stjæle kryptovaluta-nøgler fra frakoblede enheder

De to white hat-hackere startede med at betvivle chipbaserede sikkerhedssystemer, da en af deres bekendte fik stjålet en bærbar, uden at indbrudstyven efterlod sig nogle beviser.

Siden da har de over lang tid snuppet kodestumper fra et nøglekort fra et hotel, der bruger Vision. Herefter begyndte de at scanne kortet med RFID-læsere, men magnetstriben kan også bruges, hvis kortet har en sådan.

Læs også: Blockchain-baseret spilleplatform på vej: »Latency vil være langtfra perfekt«

Ifølge de to hackere kan selv uddaterede og ellers aflagte og formaterede kort bruges, idet disse kort indeholder alle grundkodestumperne, der skal bruges.

Læs også: Keyloggere fundet på mindst 15 danske biblioteker

I alt vurderer de to herrer at have brugt mere end 2.000 timer på at knække systemet ved langsomt at prøve sig frem, men ikke desto mindre lykkedes det dem til sidst. Til gengæld vurderer de, at det kan gøres langt hurtigere.

»Hvis man eksempelvis arbejder på det på fuld tid, ville det gå betydeligt hurtigere,« siger Tomi Tuominen til Zdnet.

Læs også: Uskyldige opslag på Facebook kan låse selv dine sikreste konti op

Den gode nyhed er, at der umiddelbart ikke er andre, der har formået at gøre de to hackere kunsten efter ‘in the wild’ endnu. Der er altså, så vidt de ved, ingen black hats, der roder med samme projekt, og diverse hotelgæster verden over kan derfor roligt låse efter sig.

Læs også: Version2 Infosecurity: Bliv klogere på dagens mange it-sikkerhedsudfordringer

Assa Abloy, der står bag låsene, har desuden patchet deres centrale systemer efterfølgende. Men hver eneste lås derude skal også opdateres, så der går formentlig nogen tid, før løsningen er helt sikker igen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere