Nieuws
image

Fabrikant wapent miljoenen hotelsloten tegen hackers

maandag 20 augustus 2012, 11:41 door Redactie, 3 reacties

Een fabrikant van hotelsloten komt met verschillende maatregelen nadat een Mozilla-werknemer had gedemonstreerd hoe eenvoudig de sloten zijn te hacken. De 24-jarige Cody Brocious ontdekte verschillende problemen waardoor het mogelijk is om wereldwijd in hotels deuren te openen. Het gaat om de sloten van fabrikant Onity, die volgens het bedrijf op tussen de vier en vijf miljoen deuren wereldwijd geïnstalleerd zijn.

Volgens Brocious zou het zelfs om zo'n tien miljoen hotelkamerdeuren gaan, wat neerkomt op een derde van alle hotels en zo'n 50% van alle hotelsloten. Voor de aanval gebruikt de Mozilla-programmeur een Arduino. Deze zeer goedkope hardware is voor allerlei doeleinden te gebruiken. Door de Arduino op de stroomaansluiting van het slot aan te sluiten, lukt het Brocious om de kamerdeur in een paar seconden te openen

Oplossing
In een verklaring stelt Onity dat het aan een oplossing werkt om potentiële risico's in de sloten op te lossen, waarbij het voor een tweelaagse aanpak kiest. De eerste beveiligingsoplossing betreft een mechanische 'cap' die in de programmeerbare plug van de sloten wordt aangebracht. Via het bestaande batterijklepje is het daardoor niet meer mogelijk om de mechanische cap te verwijderen, tenzij het slot eerst gedeeltelijk uit elkaar wordt gehaald.

Dit moet voorkomen dat iemand via een Arduino het slot hackt. "Om de veiligheid van deze oplossing verder te verbeteren, bieden we bij elke mechanische cap ook een security TORX-schroef om het batterijklepje in het slot te beveiligen." Deze oplossing is gratis voor klanten en zal eind augustus beschikbaar zijn.

De tweede oplossing is het upgraden van de firmware naar een geavanceerder model. Daarbij wordt het controlebord van het slot vervangen. De kosten hiervoor moeten de hotels zelf dragen. Ook deze oplossing is eind augustus beschikbaar.

Kosten
Brocious prijst op zijn eigen weblog Onity voor het oplossen van het probleem, maar vindt niet dat klanten de kosten moeten betalen om het beveiligingslek op te lossen. Als een dergelijk probleem in een auto zou worden aangetroffen, zou er een terugroepactie volgen waarbij de fabrikant ook de kosten zou dragen.

"Het uitbrengen van een oplossing voor zo'n ernstig lek zonder het gehele systeem door een onafhankelijke security professional te laten auditen, inclusief fix, is vragen om het probleem te laten bestaan, of dat er nieuwe problemen verschijnen", merkt Brocious op. Voor de veiligheid van hotelgasten vindt hij dat Onity een audit moet laten uitvoeren. "Het is gewoon de enige manier om te voorkomen dat ze weer een verschrikkelijk product op de markt brengen."

Reacties (3)
20-08-2012, 13:06 door Anoniem
OMG! Da's niet eerlijk! Niemand heeft TORQ-bitjes die ze bij de bouwmarkt zo kunnen kopen.
20-08-2012, 13:25 door dnmvisser
Als er iets ernstigs mis gaat met je auto kan de bestuurder in het ergste geval overlijden. Dat is vrij duidelijk en iedereen kan zich voorstellen dat dat niet leuk is.
Als er een hoteldeur gehacked wordt gaat er niet direct iemand dood. Dus Onity kan redelijk makkelijk wegkomen met het laten betalen voor het vervangen van alle controlebordjes.
Dat wordt anders zodra er echt iets serieus mis gaat, bv. als er iemand vermoord wordt en de dader blijkt een hoteldeur gehacked te hebben. In de VS zou Onity dan wel eens een schadeclaim kunnen krijgen. En als die toegewezen wordt heeft Onity een groot probleem.
20-08-2012, 16:25 door Anoniem
Als onity garandeerd dat de logging van die hoteldeuren klopt, dan konden ze nog wel eens hele rare uitkomsten geven van wie wat uit welke kamer gejat heeft. Het lijkt mij dat ze zelf verantwoordelijk zijn om de deuren in kwestie te upgraden om deze garantie te kunnen blijven garanderen, als is een ijzeren kapje en 'TORQ Security' schoef mij inziens ruim onvoldoende.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure