Hacker đã có thể chế “chìa khóa thông minh” mở cửa hàng triệu phòng khách sạn

Nếu bạn có thói quen cất giữ những tài sản quý giá và đắt tiền của mình trong phòng khách sạn thì bài viết sau đây sẽ khiến bạn phải thay đổi thói quen này đấy. Phòng của bạn không chỉ có thể được mở bởi chìa khóa của nhân viên khách sạn, mà còn bởi một hacker đột nhập từ bên ngoài.

Một lỗ hổng nghiêm trọng trong thiết kế của một hệ thống khóa điện tử phổ biến và đang được sử dụng rộng rãi có thể được khai thác để mở khóa tất cả phòng khách sạn, qua đó có thể khiến hàng triệu phòng khách sạn trên toàn thế giới dễ bị tấn công bởi hacker.

Lỗ hổng này đã được phát hiện trong hệ thống khóa Vision của VingCard – được sản xuất bởi nhà sản xuất khóa lớn nhất trên thế giới, Assa Abloy và được áp dụng sử dụng tại hơn 42.000 cơ sở ở 166 quốc gia khác nhau, tương đương hàng triệu cửa phòng khách sạn.

Sau hàng ngàn giờ làm việc, các nhà nghiên cứu bảo mật của F-Secure đã xây dụng một chìa khóa chủ có thể sử dụng để mở khóa cửa ra vào của bất kỳ phòng khách sạn nào bằng công nghệ khóa kỹ thuật số Vision của VingCard mà không hề để lại bất kỳ dấu vết gì trên hệ thống quản lý.

Vậy làm thế nào mà hacker có thể xây dựng được một chìa khóa chủ thông minh hack được toàn bộ cửa khách sạn?

Để tạo được khóa chính và có thể truy cập vào phòng được bảo mật bởi hệ thống Vision, yêu cầu đầu tiên là phải có một thẻ khóa điện tử, bất kỳ thẻ nào đang tồn tại, dù cho thẻ có bị cũ hoặc hết hạn đi nữa thì vẫn có thể hack thành công.

Để lấy được khóa điện tử  (RFID hoặc thẻ Madstripe) kẻ tấn công có thể đọc dữ liệu từ xa bằng cách đứng gần một khách sạn hoặc nhân viên có thẻ khóa trong túi hoặc đơn giản là có thể đặt phòng và sử dụng thẻ đó làm nguồn.

Những kẻ tấn công này sau đó sẽ cần phải mua một ứng dụng cài đặt khoảng vài tram USD trực tuyến để ghi đè lên thẻ khóa điện tử này và tạo ra một khóa chủ trong vòng vài phút.

Tuy nhiên, F-Secure cho biết rằng họ đã sử dụng phần mềm tùy chỉnh của mình để ha thực hiện việc hack đặc biệt này để chúng minh và dĩ nhiên họ sẽ không phát hành nó.

Các thiết bị tùy chỉnh sẽ được tổ chức gần với khóa mục tiêu, thử các phím khác nhau trong vòng chưa đầy 1 phút và định vị khóa chính và mở khóa cửa. Thế là có thể vào bất kỳ phòng nào trong khác sạn bằng khóa chính.

Các nhà nghiên cứu cũng đã cung cấp một video chứng minh để cho thấy vụ hack có thể diễn ra như thế nào.

Các nhà nghiên cứu đã thông báo những phát hiện của mình cho Assa Abloy vào tháng 4/2017, và trong năm đó cả hai đã phối hợp để phát triển giải pháp cải thiện vấn đề này.

Assa Abloy cũng đã phát hành phần mềm vá lỗi hệ thống vào tháng 2/2018 và cập nhật đã được thực hiện cho hầu hết các tổ chức bị ảnh hưởng.

F-Secure vẫn chưa cung cấp thông tin cụ thể về kỹ thuật về kỹ thuật này. Đồng thời cũng chưa có chứng cứ nào nói về việc kỹ thuật hack này đã bị khai thác hay chưa.

Minh Hương