Een beveiligingslek in een populair slot dat veel hotels gebruiken wordt op dit moment misbruikt door inbrekers om hotelkamers leeg te roven. Vorig jaar demonstreerde beveiligingsonderzoeker Cody Brocious een kwetsbaarheid in de sloten van fabrikant Onity, die volgens het bedrijf op tussen de vier en vijf miljoen deuren wereldwijd geïnstalleerd zijn.
Brocius gebruikte voor zijn demonstratie een Arduino. Deze zeer goedkope hardware is voor allerlei doeleinden te gebruiken. Door de Arduino op de stroomaansluiting van het slot aan te sluiten is het mogelijk om de kamerdeur in een paar seconden te openen, zonder braaksporen achter te laten.
Het probleem wordt veroorzaakt doordat het geheugen van elk slot volledig is blootgesteld aan het apparaat dat verbinding maakt. De cryptografische sleutel om de deur te openen staat ook in het geheugen. De Arduino kan deze cryptografische sleutel in het geheugen benaderen en vervolgens gebruiken om de deur open te doen.
Patch
Onity kwam in augustus vorig jaar met een plan om hotelsloten te beveiligen. De eerste beveiligingsoplossing betreft een mechanische 'cap' die in de programmeerbare plug van de sloten wordt aangebracht. Via het bestaande batterijklepje is het daardoor niet meer mogelijk om de mechanische cap te verwijderen, tenzij het slot eerst gedeeltelijk uit elkaar wordt gehaald.
De tweede oplossing is het upgraden van de firmware naar een geavanceerder model. Daarbij wordt het controlebord van het slot vervangen. De kosten hiervoor moeten de hotels zelf dragen.
Inbraken
Nog niet alle hotels beschikken over één van de twee oplossingen. In East Valley, ten oosten van Phoenix, is een stel inbrekers actief dat via een klein apparaat weet in te breken. Zo zijn er televisies, beddengoed, laptops en spullen van gasten gestolen, waaronder creditcards. De website Silent Witness heeft nu 1000 dollar aangeboden voor tips die tot de aanhouding van de dieven leiden.
Volgens een politieagent zouden al meer dan 30 lokale hotels op deze manier bestolen zijn en ligt het werkelijke aantal inbraken waarschijnlijk nog veel hoger. Daarbij gaat het niet alleen om een lokaal probleem, aangezien de technologie om de hotelsloten te kraken eenvoudig te verkrijgen en te gebruiken is.
Deze posting is gelocked. Reageren is niet meer mogelijk.