圖片來源: 

F-Secure

資安業者F-Secure本周指出,他們發現全球連鎖飯點所使用的VingCard電子鎖系統含有多個安全漏洞,成功開採這些將可打造一把萬用鑰匙,可用來開啟特定建築物的所有房間。

VingCard為全球最大鎖具製造商Assa Abloy旗下的電子鎖品牌,此次F-Secure所發現的漏洞存在於VingCard的電子鎖暨鑰匙卡產品線Vision,估計被部署於全球逾160個國家的14萬間飯店。

現階段大多數的飯店、特別是高級或連鎖飯店都使用電子鎖系統,並採用拋棄式的鑰匙卡,且有愈來愈多的鑰匙卡是採用RFID技術而非傳統磁卡。

研究人員利用由Proxmark所生產的RFID卡片讀取與寫入工具,再找到任何一張鑰匙卡,不管是有效的或失效的,甚至是過期已被丟到垃圾桶的,便可利用解密技術來分析Vision鑰匙卡的資訊,以打造出可出入該建築任何房間的萬用鑰匙。(來源:F-Secure)

F-Secure表示,他們對電子鎖產生興趣是在參加某次安全會議時,有一名同事放在飯店房間的筆電不翼而飛,飯店員工宣稱房間並無任何被強行入侵的跡象,也沒有任何房間被非法進入的紀錄,於是他們後來決定選擇最大的電子鎖品牌展開調查。

F-Secure的資深安全顧問Timo Hirvonen指出,他們想知道能否繞過電子鎖而完全不留痕跡。最後F-Secure花了一年的時間了解整個電子鎖的系統設計,才找出了許多小漏洞,再整合這些小漏洞進行攻擊。

儘管Vision已是個不再開發的產品,但VingCard已為了仍在使用該產品的客戶修補了韌體。

 

 


Advertisement

更多 iThome相關內容