Hacker đã có thể chế “chìa khóa thông minh” mở cửa hàng triệu phòng khách sạn

www.tuoitre.vn -   27/04/2018 10:00:00 3848

Nếu bạn có thói quen cất giữ những tài sản quý giá và đắt tiền của mình trong phòng khách sạn thì bài viết sau đây sẽ khiến bạn phải thay đổi thói quen này đấy. Phòng của bạn không chỉ có thể được mở bởi chìa khóa của nhân viên khách sạn, mà còn bởi một hacker đột nhập từ bên ngoài.

Hacker đã có thể chế “chìa khóa thông minh” mở cửa hàng triệu phòng khách sạn

Một lỗ hổng nghiêm trọng trong thiết kế của một hệ thống khóa điện tử phổ biến và đang được sử dụng rộng rãi có thể được khai thác để mở khóa tất cả phòng khách sạn, qua đó có thể khiến hàng triệu phòng khách sạn trên toàn thế giới dễ bị tấn công bởi hacker.

Lỗ hổng này đã được phát hiện trong hệ thống khóa Vision của VingCard – được sản xuất bởi nhà sản xuất khóa lớn nhất trên thế giới, Assa Abloy và được áp dụng sử dụng tại hơn 42.000 cơ sở ở 166 quốc gia khác nhau, tương đương hàng triệu cửa phòng khách sạn.

Sau hàng ngàn giờ làm việc, các nhà nghiên cứu bảo mật của F-Secure đã xây dụng một chìa khóa chủ có thể sử dụng để mở khóa cửa ra vào của bất kỳ phòng khách sạn nào bằng công nghệ khóa kỹ thuật số Vision của VingCard mà không hề để lại bất kỳ dấu vết gì trên hệ thống quản lý.

Vậy làm thế nào mà hacker có thể xây dựng được một chìa khóa chủ thông minh hack được toàn bộ cửa khách sạn?

Để tạo được khóa chính và có thể truy cập vào phòng được bảo mật bởi hệ thống Vision, yêu cầu đầu tiên là phải có một thẻ khóa điện tử, bất kỳ thẻ nào đang tồn tại, dù cho thẻ có bị cũ hoặc hết hạn đi nữa thì vẫn có thể hack thành công.

Hacker đã có thể chế “chìa khóa thông minh” mở cửa hàng triệu phòng khách sạn

Để lấy được khóa điện tử  (RFID hoặc thẻ Madstripe) kẻ tấn công có thể đọc dữ liệu từ xa bằng cách đứng gần một khách sạn hoặc nhân viên có thẻ khóa trong túi hoặc đơn giản là có thể đặt phòng và sử dụng thẻ đó làm nguồn.

Những kẻ tấn công này sau đó sẽ cần phải mua một ứng dụng cài đặt khoảng vài tram USD trực tuyến để ghi đè lên thẻ khóa điện tử này và tạo ra một khóa chủ trong vòng vài phút.

Tuy nhiên, F-Secure cho biết rằng họ đã sử dụng phần mềm tùy chỉnh của mình để ha thực hiện việc hack đặc biệt này để chúng minh và dĩ nhiên họ sẽ không phát hành nó.

Các thiết bị tùy chỉnh sẽ được tổ chức gần với khóa mục tiêu, thử các phím khác nhau trong vòng chưa đầy 1 phút và định vị khóa chính và mở khóa cửa. Thế là có thể vào bất kỳ phòng nào trong khác sạn bằng khóa chính.

Các nhà nghiên cứu cũng đã cung cấp một video chứng minh để cho thấy vụ hack có thể diễn ra như thế nào.

 

Các nhà nghiên cứu đã thông báo những phát hiện của mình cho Assa Abloy vào tháng 4/2017, và trong năm đó cả hai đã phối hợp để phát triển giải pháp cải thiện vấn đề này.

Assa Abloy cũng đã phát hành phần mềm vá lỗi hệ thống vào tháng 2/2018 và cập nhật đã được thực hiện cho hầu hết các tổ chức bị ảnh hưởng.

F-Secure vẫn chưa cung cấp thông tin cụ thể về kỹ thuật về kỹ thuật này. Đồng thời cũng chưa có chứng cứ nào nói về việc kỹ thuật hack này đã bị khai thác hay chưa.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 41
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 46
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 9
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 12
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 49
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 6
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ