F-Secure：連鎖飯店採用的電子鎖VingCard韌體漏洞可打造萬用鑰匙

資安業者F-Secure本周指出，他們發現全球連鎖飯點所使用的VingCard電子鎖系統含有多個安全漏洞，成功開採這些將可打造一把萬用鑰匙，可用來開啟特定建築物的所有房間。

VingCard為全球最大鎖具製造商Assa Abloy旗下的電子鎖品牌，此次F-Secure所發現的漏洞存在於VingCard的電子鎖暨鑰匙卡產品線Vision，估計被部署於全球逾160個國家的14萬間飯店。

現階段大多數的飯店、特別是高級或連鎖飯店都使用電子鎖系統，並採用拋棄式的鑰匙卡，且有愈來愈多的鑰匙卡是採用RFID技術而非傳統磁卡。

研究人員利用由Proxmark所生產的RFID卡片讀取與寫入工具，再找到任何一張鑰匙卡，不管是有效的或失效的，甚至是過期已被丟到垃圾桶的，便可利用解密技術來分析Vision鑰匙卡的資訊，以打造出可出入該建築任何房間的萬用鑰匙。(來源：F-Secure)

F-Secure表示，他們對電子鎖產生興趣是在參加某次安全會議時，有一名同事放在飯店房間的筆電不翼而飛，飯店員工宣稱房間並無任何被強行入侵的跡象，也沒有任何房間被非法進入的紀錄，於是他們後來決定選擇最大的電子鎖品牌展開調查。

F-Secure的資深安全顧問Timo Hirvonen指出，他們想知道能否繞過電子鎖而完全不留痕跡。最後F-Secure花了一年的時間了解整個電子鎖的系統設計，才找出了許多小漏洞，再整合這些小漏洞進行攻擊。

儘管Vision已是個不再開發的產品，但VingCard已為了仍在使用該產品的客戶修補了韌體。