image

Onderzoekers vinden lek in elektronisch sleutelsysteem hotels

woensdag 25 april 2018, 15:57 door Redactie, 6 reacties

Onderzoekers van anti-virusbedrijf F-Secure hebben kwetsbaarheden in een elektronisch sleutelsysteem ontdekt dat door hotels wereldwijd wordt gebruikt en het mogelijk maakt om toegang tot hotelkamers te krijgen. Het gaat om verschillende ontwerpfouten die aanwezig waren in de Vision-software van VingCard.

Dit is de software van het digitale sleutelsysteem. Deze software wordt gebruikt om miljoenen hotelkamers in alle delen van de wereld te vergrendelen. Voor de aanval maakten de onderzoekers gebruik van standaard elektronische keycards, zoals keycards die zijn verlopen en afgedankt en keycards die worden gebruikt om toegang te krijgen tot ruimtes zoals een kast of garage. De onderzoekers waren in staat om aan de hand van informatie op de keycard een hoofdsleutel (elektronische loper) te creëren met toegangsrechten voor het openen van elke deur in het gebouw.

Hiervoor maakten ze gebruik van een Proxmark rfid-kaartschrijver, die voor een paar honderd euro te koop is. Het is echter de software die de onderzoekers ontwikkelden waardoor de aanval mogelijk is. Ook ontdekten de onderzoekers dat de Vision-software op hetzelfde netwerk kan worden misbruikt om toegang tot gevoelige klantgegevens te krijgen. Een aanvaller kan klantgegevens downloaden, of gastregistraties aanmaken, verwijderen of aanpassen.

Na te zijn ingelicht heeft slotenfabrikant Assa Abloy, moederbedrijf van VingCard, beveiligingsupdates ontwikkeld om de problemen te verhelpen. Deze updates zijn inmiddels beschikbaar gesteld aan hotels die het systeem gebruiken. Of ook alle hotels de updates hebben geïnstalleerd is onbekend. Het aantal kwetsbare hotelsloten zou tussen de 500.000 en 1 miljoen liggen. De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen.

Image

Reacties (6)
25-04-2018, 16:27 door Anoniem
"De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen."

Als zij het kunnen maken, kunnen anderen het ook, alleen zijn hotelkamers niet zo heel interessant om in te breken. Dat doen ze bij jou thuis wel als jij in het hotel bent.
Kortom, een storm in een glas water.
25-04-2018, 17:39 door Anoniem
Door Anoniem: "De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen."

Als zij het kunnen maken, kunnen anderen het ook, alleen zijn hotelkamers niet zo heel interessant om in te breken. Dat doen ze bij jou thuis wel als jij in het hotel bent.
Kortom, een storm in een glas water.
Nou, storm in een glas water... Ik heb zelf eens een situatie gehad in een hotel, maar daar word je echt niet vrolijk van. En je krijgt helemaal een naar gevoel als vreemden bij je spullen konden komen!
26-04-2018, 09:11 door Anoniem
Zo zijn er ook heel veel hotelkluisjes in hotelkamers die je met de standaard fabriekscode gewoon kunt openen.
Die code wordt heel vaak niet verwijderd als de kluisjes in gebruik worden genomen en Youtube staat vol met filmpjes waarin ze laten zien welke code dat is per model.
26-04-2018, 09:24 door -karma4
Door Anoniem: "De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen."

Als zij het kunnen maken, kunnen anderen het ook, alleen zijn hotelkamers niet zo heel interessant om in te breken. Dat doen ze bij jou thuis wel als jij in het hotel bent.
Kortom, een storm in een glas water.

Nou... Een 'evil maid' attack wordt zo een stuk gemakkelijker! Je hoeft geen 'maid' meer te zijn in het hotel. Het dus een 'evil *' attack geworden.
26-04-2018, 11:27 door Anoniem
Door The FOSS:
Door Anoniem: "De onderzoekers zeggen dat ze de tools voor het maken van de elektronische loper niet beschikbaar zullen stellen."

Als zij het kunnen maken, kunnen anderen het ook, alleen zijn hotelkamers niet zo heel interessant om in te breken. Dat doen ze bij jou thuis wel als jij in het hotel bent.
Kortom, een storm in een glas water.

Nou... Een 'evil maid' attack wordt zo een stuk gemakkelijker! Je hoeft geen 'maid' meer te zijn in het hotel. Het dus een 'evil *' attack geworden.

Nu is een hotelkamer nooit een heel veilige omgeving geweest, maar het is inderdaad wel een probleem als 'iedereen' echt te makkelijk naar binnen kan.

Overigens zijn er vrij weinig mensen voor wie 'evil maid' (aanval om beveiligde laptop te hacken) echt een een grote zorg is.

Maar de gewone dief die voor de waarde van de laptop, telefoon, geld, foto apparatuur , paspoort,creditcards en al die dingen die je als hotelbezoeker bij je hebt is echt wel een risico.

Ook al _kan_ hotelpersoneel daar ook bij, die hebben het punt dat ze te makkelijk verdacht zijn - op basis van sleutellogs, aanwezigheids tijden etc.
Heel zuur trouwens als nu kamermeisjes wellicht onterecht verdacht worden wanneer de diefstal duidelijk verwijst naar gebruik van "de" masterkey .
27-04-2018, 08:02 door Krakatau
Een groot probleem dat hotels veel werk bezorgt. Want elk slot moet individueel worden gepatcht.

This hack was revealed to the lock company last year, and Tuominen and Hirvonen worked with the company to develop a patch that will protect the affected locks. It is then up to hotels to update the software by visiting every lock in the hotel and patching them individually.

https://www.vice.com/en_id/article/mbxyey/master-hotel-key-unlocked-millions-of-doors
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.