Первыми уязвимость электронных замков обнаружили «белые» хакеры Томи Туоминен (Tomi Tuominen) и Тимо Хирвонен (Timo Hirvonen), которые сами стали жертвами кражи ноутбука из номера гостиницы.

В апреле прошлого года они закончили собственное исследование и наконец-то смогли создать клон мастер-ключа, который позволяет проникнуть в комнату в любом отеле, не оставив никаких следов.

Проблема касается системы Vision, разработчиком которой является норвежская компания VingCard. Программа работает в ОС Windows, применяется для контроля работы миллионов замков по всему миру и пользуется популярностью в гостиничном бизнесе. В частности, система установлена в сетях отелей InterContinental, Hyatt и Radisson.

Чтобы создать реплику, злоумышленнику потребуется найти брешь в защите, изучив систему. В качестве заготовки копии подойдет любая оригинальная карта-ключ производителя, даже выброшенная или просроченная. Заготовка также может не соответствовать цели взлома — электронный ключ от гаража вполне подойдет для того, чтобы взломать дверь отеля.

После того как преступник вычислит универсальный код с помощью специального устройства (исследователи написали свою программу для RFID-ридера Proxmark, купленного за 300 евро), его можно будет перенести на заготовку.

Помимо этого, в ходе исследования эксперты пришли к выводу, что уязвимость Vision можно использовать и для получения личных данных человека, использующего замок. Хорошая новость в том, что у двух специалистов по безопасности на взлом системы ушло 12 лет.

«Только после того как мы тщательно изучили устройство всей системы, нам удалось найти искомые бреши и разработать метод создания универсального ключа», — сказал Хирвонен.

Туоминен и Хирвонен передали отчет о проблеме шведской компании Assa Abloy, которая занимает первое место в мире по продажам электронных замков. Согласно договоренности с организацией, детали эксперимента не разглашаются. Работая вместе с вендором, аналитики смогли закрыть уязвимость, а два месяца назад гостиничные сети начали получать соответствующие обновления системы.

Категории: Кибероборона, Уязвимости, Хакеры