Seguridad

Investigadores crean truco para desbloquear millones de puertas de habitaciones de hotel

Una falla en las cerraduras electrónicas de las puertas de los hoteles de Assa Abloy podría haber permitido a los piratas ingresar a las habitaciones y otros lugares seguros en millones de hoteles en todo el mundo. F-Seguridad los investigadores encontraron.

Después de que F-Secure notificó y trabajó con Assa Abloy durante el año pasado, se lanzó una actualización de software para corregir la falla en la cerradura inteligente, denominada «Vision for VingCard».

Los investigadores han encontrado una manera de utilizar la información de las tarjetas de acceso de cualquier habitación para crear una llave maestra, incluidos armarios y garajes, incluso llaves caducadas o descartadas. Este método permite a los piratas realizar ataques sin ser detectados.

perseverar

Los investigadores comenzaron a investigar el problema después de que la computadora portátil de un colega fuera robada durante una conferencia de seguridad en 2003. Según los informes, el personal del hotel no tomó en serio el robo denunciado y dijo que no había señales de entrada forzada o acceso no autorizado a la habitación.

A lo largo de los años, los investigadores han pasado miles de horas de forma intermitente investigando el evento. Terminaron cerrando una cerradura conocida por su seguridad y alta calidad.

«Solo después de comprender a fondo cómo se diseñó el sistema pudimos identificar debilidades aparentemente inocuas”, dijo Timo Hirvonen, consultor senior de seguridad de F-Secure. «Combinamos de manera creativa estas debilidades para encontrar una forma de crear una clave de acceso. ”

Según la compañía, ninguna habitación de hotel real se vio comprometida durante el período de estudio.

Hirvonen le dijo a E-Commerce Times que la vulnerabilidad solo se aplica al producto Vision of the VingCard, y agregó que F-Secure estuvo de acuerdo con el mecanismo de Assa Abloy para ocultar la vulnerabilidad.

Señaló que una variedad de factores pueden afectar la efectividad de las cerraduras electrónicas de las puertas, y señaló que el cifrado se usa para proteger la confidencialidad de los datos en las tarjetas de acceso.

«El cifrado eleva el nivel para comenzar a analizar sistemas», dijo Hirvonen. «Sin embargo, el cifrado no es una panacea: las claves de cifrado deben generarse y almacenarse de forma segura».

reseñas de hoteles

Marriott International confirmó que Assa Abloy había notificado a la cadena hotelera sobre la vulnerabilidad en una versión del sistema de bloqueo de la empresa.


«Actualmente estamos trabajando con nuestros proveedores para comprender el impacto en nuestros hoteles», dijo el portavoz Hunter Hardinge.

Agregó que la compañía recibió un parche de software de Assa Abloy y está trabajando para implementarlo lo antes posible.

El hack se basó en una debilidad de contraseña en una generación anterior de cerraduras de puertas, dice Andrew Howard, director de tecnología. Seguridad Kudelskysegún informes que leyó.

Le dijo al E-Commerce Times que la falla permitió que una herramienta de piratería itera a través de posibles códigos de acceso hasta que encontró el correcto.

El informe llama la atención sobre las vulnerabilidades en los bloqueos remotos, especialmente en un momento en que las empresas venden cada vez más dispositivos de bloqueo inteligentes controlados a través de aplicaciones móviles, dijo Brian Martin, vicepresidente de inteligencia de vulnerabilidades. seguridad basada en riesgo.

«Todo esto es una seria advertencia de que estos sistemas deben probarse rigurosamente antes de ser introducidos en el mercado», dijo a E-Commerce Times.

Infografía de F-Secure: las cerraduras de hotel crean llaves maestras

Apenas el año pasado, el fiscal general de Nueva York, Eric Schneiderman, llegó a un acuerdo con Safetech Products sobre las acusaciones de que sus candados Bluetooth y cerraduras de puertas inalámbricas no eran seguros.

Los investigadores descubrieron que cuando la empresa transmitía la información de la contraseña del candado al teléfono, no cifraba la información necesaria para evitar que los piratas informáticos robaran los datos. La contraseña predeterminada en el candado se puede descifrar fácilmente mediante un ataque de fuerza bruta.

En 2016, los investigadores de Universidad de MichiganEn cooperación con Microsoft, se descubrió una vulnerabilidad en el sistema Samsung SmartThings IoT. Les permite acceder al PIN en la cerradura electrónica de la puerta y utilizar SmartApp para crear una llave de puerta de respaldo. El equipo notificó a Samsung y trabajó con la empresa para resolver las fallas.


LEER  La venta de datos de ubicación amenaza la privacidad del consumidor

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba