Hackers encontram forma de invadir quartos de hotel com chave mestra digital
Falha de software daria a um intruso acesso a todos os quartos de uma propriedade
Boa parte dos hotéis usa algum tipo de sistema de bloqueio eletrônico no lugar de chaves tradicionais para controlar o acesso dos hóspedes aos quartos. Chaves físicas são caras para substituir se perdidas. Sendo assim, recepcionistas oferecem keycards baratos e fáceis de administrar que são baseados em RFID, sistema de identificação por radiofrequência.
Pesquisadores da F-Secure analisaram um sistema popular de bloqueio de portas da maior fabricante mundial desses produtos: Assa Abloy.
A companhia de segurança teceu alguns elogios ao sistema, mas isso não os impediu de encontrar uma vulnerabilidade no software (Vision, desenvolvido por uma empresa terceirizada chamada VingCard) que daria a um intruso acesso a todos os quartos de uma propriedade.
“Você pode imaginar o que uma pessoa mal-intencionada poderia fazer com o poder de entrar em qualquer quarto de hotel com uma chave mestra”, disse Tomi Tuominen, pesquisador da F-Secure.
De acordo com o executivo, é necessário apenas obter um cartão-chave do hotel em que está hospedado — e não precisa nem ser o quarto em que você está interessado em invadir. Literalmente, qualquer chave será suficiente, seja uma chave de quarto ou uma chave para um armário de armazenamento ou garagem, explica a nota da F-Secure. E o pior, a chave nem precisa estar ativa. Uma chave expirada de uma estadia há cinco anos funcionará como parte desse golpe, completou a companhia.
Falha foi corrigida em hotéis afetados
Usando um hardware especializado que custa “algumas centenas de euros” on-line e alguns softwares personalizados, o invasor pode analisar a chave e, usando um processo de computação, determinar uma chave mestra que vai abrir todas as portas do mesmo hotel com o sistema.
Essa chave pode ser introduzida em um keycard em branco e passada para um cúmplice dentro do hotel. De acordo com a F-Secure, esse ataque funciona tanto em cartões com tarja magnética quanto em cartões-chave de hotel do modelo RFID, os mais sofisticados.
Seguindo as práticas recomendadas de divulgação responsável de vulnerabilidades de segurança, a F-Secure informou a Assa Abloy sobre a questão no ano passado e, silenciosamente, trabalhou com a empresa para resolver o problema. Uma correção foi criada a partir disso.
