Система электронных замков Vision by VingCard от шведского разработчика Assa Abloy используется в более чем 42 тысячах заведений в 166 странах. Такие замки есть в миллионах гостиничных номеров, а также гаражах и складах. Система особенно популярна в отелях — с помощью цифрового ключа постояльцы могут попасть только в свой номер и в некоторых случаях даже только на свой этаж. После выселения данные цифрового ключа обнуляются, и он попадает в руки следующего клиента. Но оказалось, что цифровые гостиничные ключи не так надежны, как кажутся. Сотрудники компании F-Secure Томи Туоминен и Тимо Хирвонен провели исследование и сообщили, что мастер-ключ ко всем дверям можно создать «буквально из воздуха». Для этого понадобится любая карточка-ключ. Даже в старых просроченных и деактивированных картах содержится остаточная информация, которую можно использовать для взлома. С помощью мобильного устройства и специальной программы исследователи могут украсть данные с карты — как с магнитной, так и бесконтактной. Устройство обрабатывает украденные данные и определяет, к какому отелю они относятся. Затем оно создает токен доступа с высшим уровнем привилегий — так получается мастер-ключ, который может открыть любой номер. Мастер-ключ удалось создать не за один вечер — исследование заняло более десяти лет. Ученые начали предпринимать попытки его создания в 2003 году, когда у одного из их коллег украли из номера ноутбук. Кража произошла без видимых следов взлома, поэтому сотрудники гостиницы не стали разбираться с ситуацией. Тогда исследователи решили изучить популярный бренд умных замков. Другими словами, создание мастер-ключа было нелегким занятием, на которое ушли «тысячи часов» работы методом проб и ошибок. «Разработка метода взлома отняла у нас много времени и сил, — утверждают ученые. — В 2015 году мы создали демоверсию систему радиочастотной идентификации, а в марте 2017 смогли сделать первый мастер-ключ к реальной гостинице. Если бы кто-то занимался этим как полноценной работой, то у него ушло бы на это гораздо меньше времени». Но есть и хорошие новости. «Пока что не было ни единого случая подобного взлома», — рассказали исследователи. Открытие ученых привело к тому, что компания Assa Abloy выпустила обновление для своих умных замков, которое должно закрыть дыру в безопасности. Патч вышел на центральном сервере, однако для устранения уязвимости все равно необходимо обновить прошивку каждого замка. Обновление появилось в начале 2018 года, однако неизвестно, сколько гостиниц его установило. Среди клиентов Assa Abloy есть такие крупные отели, как Waldorf Astoria в Берлине, Grand Hyatt в Сан-Франциско и Renaissance Downtown в Торонто. Представители других отелей, например, Hilton, сообщили, что в курсе уязвимостей и работают над их устранением. Ученые же попросили владельцев гостиниц обновить свои замки как можно скорее. Источник. Материалы по теме: Почему многие люди используют в качестве пароля слово «дракон» Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе «Заказать кибератаку теперь не сложнее, чем пиццу в офис» Уязвимость в Tinder позволяет просматривать фото и действия пользователей
