Статья [новость - перевод] Уязвимости безопасности в электронных замках VingCard

AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
98
714
огромную уязвимость в электронной системе замков VingCard, используемой в гостиничных номерах по всему миру:

Благодаря инструменту для чтения и записи Proxmark RFID стоимостью в 300 долларов США, любая истекшая карточка-ключ, вытащенная из мусора определенного отеля, и набор криптографических трюков, разработанных в течение почти 15 лет анализа кодов, которые Vingcard электронным образом записывает на свои карты-ключи, они, все таки, нашли способ значительно сузить возможный спектр подбора кода главного ключа отеля. Они могут использовать это карманное устройство Proxmark, чтобы перебирать все возможные коды на любой замок в гостинице, идентифицировать правильный код в течение примерно 20 попыток, а затем записать этот мастер-код на карту, которая дает хакеру возможность абсолютно свободно перемещаться в любую комнату в здании. Весь процесс занимает около минуты.

Два исследователя говорят, что их атака работает только на виджетах Vingcard предыдущего поколения замков фирмы Vision, а не на новом продукте компании Visionline. Но они подсчитали, что это, тем не менее, охватывает 140 000 отелей в более чем 160 странах мира; исследователи говорят, что шведская материнская компания Vingcard, Assa Abloy, признала, что проблема затрагивает миллионы замков в целом. Однако, когда WIRED добрался до Assa Abloy, оказалось, что компания поставила общее количество уязвимых замков примерно от 500 000 до миллиона.

Патчинг, т.е. исправление этих уязвимостей, выглядит практически нереально. Он требует обновления прошивки на каждом замке по отдельности.

И исследователи размышляют, знали ли другие об этом трюке:

Исследователи F-Secure признают, что они не знают, произошла ли их атака Vinguard в реальном мире. Но американская фирма LSI, которая обучает правоохранительные органы обходить защиту электронных замков, . И исследователи F-Secure указывают на убийство палестинца из Хамас в 2010 году в отеле в Дубаи, которое, как полагают, было выполнено израильским разведывательным агентством «Моссад». Убийцы в этом случае, по-видимому, использовали уязвимость в замках Vingcard для входа в нужную им комнату, ту, которая . «Скорее всего, Моссад имеет возможность сделать что-то подобное», - говорит Туоминен.

Источник:

05l.jpg
 
Мы в соцсетях: