Onderzoekers van anti-virusbedrijf F-Secure hebben kwetsbaarheden in een elektronisch sleutelsysteem ontdekt dat door hotels wereldwijd wordt gebruikt en het mogelijk maakt om toegang tot hotelkamers te krijgen. Het gaat om verschillende ontwerpfouten die aanwezig waren in de Vision-software van VingCard.
Dit is de software van het digitale sleutelsysteem. Deze software wordt gebruikt om miljoenen hotelkamers in alle delen van de wereld te vergrendelen. Voor de aanval maakten de onderzoekers gebruik van standaard elektronische keycards, zoals keycards die zijn verlopen en afgedankt en keycards die worden gebruikt om toegang te krijgen tot ruimtes zoals een kast of garage. De onderzoekers waren in staat om aan de hand van informatie op de keycard een hoofdsleutel (elektronische loper) te creëren met toegangsrechten voor het openen van elke deur in het gebouw.
Hiervoor maakten ze gebruik van een Proxmark rfid-kaartschrijver, die voor een paar honderd euro te koop is. Het is echter de software die de onderzoekers ontwikkelden waardoor de aanval mogelijk is. Ook ontdekten de onderzoekers dat de Vision-software op hetzelfde netwerk kan worden misbruikt om toegang tot gevoelige klantgegevens te krijgen. Een aanvaller kan klantgegevens downloaden, of gastregistraties aanmaken, verwijderen of aanpassen.
Na te zijn ingelicht heeft slotenfabrikant Assa Abloy, moederbedrijf van VingCard, beveiligingsupdates ontwikkeld om de problemen te verhelpen. Deze updates zijn inmiddels beschikbaar gesteld aan hotels die het systeem gebruiken. Of ook alle hotels de updates hebben geïnstalleerd is onbekend. Het aantal kwetsbare hotelsloten zou tussen de 500.000 en 1 miljoen liggen. De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.