У всех современных технологий есть свои тонкости, касающиеся безопасности. Особенно это касается замков. Возиться с обычными ключами не всегда удобно, поэтому системы RFID в последнее время завоевали популярность. Во многих отелях номер легко открыть, достаточно приложить электронную карту-ключ RFID. Как правило, гости считают такую систему защищенной, оставляя в номерах ценные вещи.
Но сегодня практически любую систему можно взломать. Проблема кроется лишь в том, насколько это будет сложно и дорого. Исследователи из компании F-Secure проанализировали широко используемую систему Assa Abloy. Многие крупные отельные сети используют оборудование Assa Abloy, то же самое касается тысяч отдельных отелей. Из конкурентов можно отметить Vision от VingCard.
После того, как ноутбук сотрудника F-Secure был украден из комнаты отеля, специалисты решили изучить возможность взлома системы.
Все, что требуется атакующему - карта RFID из системы отеля. В данном случае Assa Abloy. Причем совершенно не принципиально, является ли эта карта гостевой для определенной комнаты или используется сотрудником отеля для привилегированного доступа. Можно использовать даже карты, чей срок действия закончился. С помощью специального оборудования RFID, которое можно приобрести за несколько сотен долларов, с карты считываются ключи. Затем устройство достаточно подержать перед другими приемниками RFID в отеле, и через несколько неуспешных попыток доступа оно считает мастер-ключ системы. С помощью этого ключа можно открывать любые двери, а также генерировать новые электронные карты-ключи.
Атака была проведена сотрудниками F-Secure Томи Туоминеном (Tomi Tuominen) и Тимо Хирвоненом (Timo Hirvonen). Они сотрудничают с Assa Abloy с апреля 2017. Как указывают специалисты, уязвимость удалось закрыть. Assa Abloy теперь предлагает обновление программного обеспечения для своих систем. Другой вопрос, обновят ли свои системы отели? По этой причине техническое описание уязвимости пока решено не публиковать, хотя формально она уже закрыта. Если верить исследователям F-Secure, случаи атак с использованием данной методики пока неизвестны. Но в системах безопасности отелей наверняка имеются похожие бреши. И сообщения о кражах без каких-либо следов взлома появляются довольно часто.