I ricercatori di F-Secure hanno scoperto che le chiavi delle camere di catene alberghiere globali e di hotel nel mondo possono essere hackerate per ottenere accesso a qualsiasi stanza nell’edificio
I ricercatori di F-Secure hanno scoperto che le catene alberghiere globali e hotel nel mondo stanno usando un sistema elettronico di chiusura che potrebbe esere sfruttato da un attaccante per ottenere accesso a qualsiasi stanza nell’edificio. La falla di progettazione scoperta nel software del sistema di chiusura, noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con security fix per mitigare la problematica.
L’attacco dei ricercatori si basa sull’utilizzo di qualsiasi chiave elettronica ordinaria di un hotel – anche una che è scaduta, scartata, o usata per accedere a spazi come il garage o il deposito. Usando le informazioni presenti sulla chiave, i ricercatori sono in grado di creare una chiave master con privilegi per aprire qualsiasi stanza nell’edificio. L’attacco può essere sferrato senza essere notati.
“Potete immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi stanza di un hotel, con una chiave master creata fondamentalmente dal nulla,” ha dichiarato Tomi Tuominen, Practice Leader in F-Secure Cyber Security Services. “Fino ad ora comunque non si ha evidenza che qualcun altro abbia tentato di sferrare questo particolare tipo di attacco.”
L’interesse dei ricercatori di F-Secure nell’attaccare i sistemi di chisura di un hotel è nato una decina di anni fa quando a un collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando i ricercatori hanno denunciato il furto, lo staff dell’hotel non ha preso in considerazione la loro segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto di prendere di mira un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Non si trattava di buchi evidenti di sicurezza. E’ servita un’analisi approfondita della progettazione dell’intero sistema per identificare piccole falle che, una volta combinate, hanno prodotto l’attacco. La ricerca ha richiesto diverse migliaia di ore nel corso degli anni ed è stata condotta su base continua, con un numero considerevole di prove ed errori.
“Volevamo scoprire se sia possibile bypassare il sistema di chiusura elettronica senza lasciare tracce,” ha spiegato Timo Hirvonen, Senior Security Consultant di F-Secure. “Costruire un sistema di controllo accessi sicuro è molto difficile perché ci sono così tante cose che devi fare bene. Solo dopo che abbiamo capito completamente come era stato progettato il sistema, siamo stati in grado di identificare difetti apparentemente innocui. Abbiamo combinato in modo creativo questi difetti per arrivare a creare un metodo per realizzare chiavi master.”
F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura nel corso dell’ultimo anno per implementare i fix al software. Aggiornamenti sono stati resi disponibili alle realtà interessate.
“Vorrei ringraziare personalmente il team di R&D di Assa Abloy per la loro eccellente collaborazione nel rettificare queste problematiche,” ha dichiarato Tuominen. “Grazie alla loro diligenza e alla ferma volontà di voler risolvere i problemi identificati dalla nostra ricerca, il mondo dell’hospitality è ora un posto più sicuro. Invitiamo qualsiasi struttura che stia usando questo software ad applicare l’aggiornamento prima possibile.”