【綜合報道】芬蘭電腦保安公司F-Secure的研究人員發現環球酒店百萬計VingCard電子門鎖有安全漏洞,可以不留痕[被黑客入侵。他們發現,黑客可憑一張已過期的VingCard,製作一張可通行所有房間的萬能房卡,過程甚至不會留下任何可追蹤痕[。
F-Secure研究這個大眾再熟悉不過的鎖具設備,要從2003年的一場意外說起。發現旅館電子鎖漏洞的是F-Secure的顧問Tomi Tuominen以及Timo Hirvonen,當時一位F-Secure的研究人員入住德國柏林一家高檔旅館,有一天回房後發現他的筆電遭竊,但旅館人員調查後,並沒有發現任何遭小偷侵入的痕[,因此認為電腦遺失,應該是這位研究人員粗心忘記放在哪堙A這次意外事件讓Tomi Tuominen、Timo Hirvonen好奇是否有可能在完全不留痕跡的情況下,侵入旅館的電子鎖系統。
大部分使用電子鎖系統的旅館,都會提供房客一次性房卡,這些房卡大部分是使用RFID技術(無線射頻辨識),兩位研究人員發現,全球最大的鎖具製造商亞薩合萊(Assa Abloy),由第三方公司VingCard開發的底層系統Vision有漏洞,「我們發現只要使用任何一張旅館房卡,就可打造一張在旅館內通行無阻的萬能卡,且這張房卡甚至過期也通用。」
許多人在退房時會忘記交回房卡,這個無心的動作可能會讓有心人士有機可乘。
兩位研究人員表示,攻擊者只要取得一張房卡(過期的舊房卡也可以),接茼b網路上花幾百歐元購買複製卡片資料的硬體、軟體工具,就能在幾分鐘內製作多張房卡,透過這些房卡可以進入旅館任何一間房間,過程完全不會遺留任何痕跡。
更可怕的情況是,研究人員發現即使房卡放在口袋中,攻擊者一樣能夠在遠端取得卡片資料,這種攻擊方式適用傳統磁條以及RFID。
全球有許多旅館業者,都採用亞薩合萊(Assa Abloy)的電子鎖系統,預計全球有4萬家旅館曝露在風險之下。
該公司過去一年跟製造商合作製作更新軟件堵塞漏洞。
門鎖軟件的瑞典製造商Assa Abloy稱酒店兩個月前已開始更新軟件,尚未更新的只佔少數。
發言人稱,任何數碼器材及軟件都有被入侵的風險,相信黑客要破解更新後的系統可能要一班高科技專業人士及花數年時間。
Assa Abloy的門鎖系統為全球不少知名酒店集團使用,包括洲際、凱悅、麗笙及喜來登等,但Assa Abloy未有透露哪些酒店未更新軟件。
但無論如何,這個案例也替旅宿業敲響了警鐘,F-Secure研究人員提醒,房客盡量不要將太貴重的東西留在房中,入住時使用門鏈鎖也能增降低被侵入風險。