Boa parte dos hotéis usa algum tipo de sistema de bloqueio eletrônico no lugar de chaves tradicionais para controlar o acesso dos hóspedes aos quartos. Chaves físicas são caras para substituir se perdidas. Sendo assim, recepcionistas oferecem keycards baratos e fáceis de administrar que são baseados em RFID, sistema de identificação por radiofrequência.
Pesquisadores da F-Secure analisaram um sistema popular de bloqueio de portas da maior fabricante mundial desses produtos: Assa Abloy.
A companhia de segurança teceu alguns elogios ao sistema, mas isso não os impediu de encontrar uma vulnerabilidade no software (Vision, desenvolvido por uma empresa terceirizada chamada VingCard) que daria a um intruso acesso a todos os quartos de uma propriedade.
“Você pode imaginar o que uma pessoa mal-intencionada poderia fazer com o poder de entrar em qualquer quarto de hotel com uma chave mestra”, disse Tomi Tuominen, pesquisador da F-Secure.
De acordo com o executivo, é necessário apenas obter um cartão-chave do hotel em que está hospedado — e não precisa nem ser o quarto em que você está interessado em invadir. Literalmente, qualquer chave será suficiente, seja uma chave de quarto ou uma chave para um armário de armazenamento ou garagem, explica a nota da F-Secure. E o pior, a chave nem precisa estar ativa. Uma chave expirada de uma estadia há cinco anos funcionará como parte desse golpe, completou a companhia.
Usando um hardware especializado que custa “algumas centenas de euros” on-line e alguns softwares personalizados, o invasor pode analisar a chave e, usando um processo de computação, determinar uma chave mestra que vai abrir todas as portas do mesmo hotel com o sistema.
Essa chave pode ser introduzida em um keycard em branco e passada para um cúmplice dentro do hotel. De acordo com a F-Secure, esse ataque funciona tanto em cartões com tarja magnética quanto em cartões-chave de hotel do modelo RFID, os mais sofisticados.
Seguindo as práticas recomendadas de divulgação responsável de vulnerabilidades de segurança, a F-Secure informou a Assa Abloy sobre a questão no ano passado e, silenciosamente, trabalhou com a empresa para resolver o problema. Uma correção foi criada a partir disso.
É fundamental que organizações definam um propósito que impacte positivamente o mundo que as cercam.…
Um estudo feito pelo centro de pesquisas privado Lactec que usou inteligência artificial para analisar…
A GE Lighting, empresa americana que oferece produtos de iluminação residencial e casas inteligentes, migrou…
Apesar de vitais para a humanidade, frutas, verduras e hortaliças sofrem um problema crônico de…
Um estudo global feito pela Edelman, o Trust Barometer 2024, descobriu uma lacuna entre a…
A Zeztra, fintech especializada em recebimentos e cobranças com sede em Sorocaba (SP), terminou 2023…