F-Secure Hack может разблокировать миллионы гостиничных номеров с помощью карманного устройства

F-Secure Hack может разблокировать миллионы гостиничных номеров с помощью карманного устройства

В наши дни очень редко бывает, что при регистрации вы получите реальный ключ. Вместо этого большинство сетевых отелей и учреждений среднего размера переключились на электронные замки с системой ключей. Как обнаружили исследователи из F-Secure, эти электронные блокировки могут быть не очень надежными. Исследователям из компании удалось создать «мастер-ключ» для популярного бренда гостиничных замков, которые могут разблокировать любую дверь.

Команда начала это расследование более десяти лет назад, когда у сотрудника F-Secure был украден ноутбук из гостиничного номера. Некоторые сотрудники начали задаваться вопросом, как легко было бы взломать замки для ключей, поэтому они решили сделать это сами. Исследователи быстро указывают, что это не было фокусом F-Secure в течение 10 лет - потребовалось несколько тысяч человеко-часов, в основном в последние пару лет.

F-Secure решила взломать систему Vision от VingCard, построенную шведским производителем замков Assa Abloy. Эти замки используются в более чем 42 000 объектов в 166 странах. Проект также имел огромный успех. Отчеты F-Secure позволяют создать мастер-ключ примерно через минуту, что открывает дверь в гостиницу. Это миллионы потенциально уязвимых гостиничных номеров по всему миру.

В хаке используется небольшой карманный компьютер и считыватель RFID (он также работает со старыми картами с магнитной полосой). Все исследователи должны снять хак - это ключ от гостиницы. Он даже не должен быть активным. Даже старые и недействительные карты имеют необходимые данные для восстановления ключей, которые открывают двери. Затем пользовательское программное обеспечение генерирует ключ с полными привилегиями, которые могут обойти все блокировки в здании. Многие отели используют эти ключи не только для гостевых комнат, но и для лифтов и только для сотрудников.

«Мы хотели узнать, можно ли обойти электронный замок, не оставляя следов», - сказал @TimoHirvonen https://t.co/rsFhcf5SUr pic.twitter.com/29eUMuua3E

- F-Secure (@FSecure) 25 апреля 2018 года

В прошлом году F-Secure раскрыл взлом для Assa Abloy, и разработчик блокировщиков разработал программный патч для исправления проблемы. Он доступен для клиентов для загрузки сейчас, но есть одна существенная проблема. Прошивка на каждом замке нуждается в обновлении, и нет гарантии, что каждый отель с этой системой будет иметь ресурсы для этого. Многие из них могут даже не знать, что существует уязвимость. Этот хак может работать долгое время, но F-Secure не делает инструменты атаки общедоступными. Любой, кто хочет скомпрометировать эти блокировки, должен начать с нуля.

Читать далее

Intel разблокирован: новые Fabs, Tick-Tock возвращает, самый большой капитальный ремонт в течение десятилетий
Intel разблокирован: новые Fabs, Tick-Tock возвращает, самый большой капитальный ремонт в течение десятилетий

Intel планирует свое возвращение к общему руководству по производительности. Он также разрывает десятилетия детских книг, запускающий новый литейный сервис клиента и планирую лицензию своей технологии сторонним поставщикам, таким как никогда ранее.

OCULUS дает прекращенное Oculus, пойти на новую аренду в жизни с разблокированным программным обеспечением
OCULUS дает прекращенное Oculus, пойти на новую аренду в жизни с разблокированным программным обеспечением

Выпуск Oculus Go в 2018 году был важным шагом для дивизии виртуальной реальности Facebook, но продукт был недолговечен. После того, как выступил устаревшим по квестам Oculus, компания прекратила Go в 2020 году. Тем не менее, Facebook продал миллионы автономных гарнитур, и теперь они более способны благодаря разблокированному обновлению программного обеспечения.

Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить
Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить

Исследователи, которые обнаружили эксплойт, известный как RollingPwn, говорят, что это может повлиять на все автомобили Honda с 2012 года до последних моделей 2022 года. Тем не менее, Honda в настоящее время отрицает, что существует уязвимость.

Некоторые телефоны Pixel 6A можно разблокировать незарегистрированными отпечатками пальцев
Некоторые телефоны Pixel 6A можно разблокировать незарегистрированными отпечатками пальцев

Согласно нескольким отчетам, последний телефон Google может быть разблокирован с помощью отпечатка пальца - любой отпечаток пальца, даже если это не тот, который вы зарегистрировали, или тот, который принадлежит кому -то другому.