F-Secure ontdekt lek in beveiliging digitale hotelkamersleutels

Uit het onderzoek van F-Secure blijkt dat VISON by VingCard, de software van het digitale sleutelsysteem, fouten bevat. Deze software wordt gebruikt om miljoenen hotelkamers wereldwijd te vergrendelen. Het wereldwijde gebruikte electronische sleutelsysteem kan worden gehackt om toegang te krijgen tot hotelkamers. F-Secure heeft overigens geen enkele hotelkamer betreden.

Elektronische keycard

De onderzoekers maakten gebruik van een standaard elektronische keycard. Het kan in dit verband ook gaan om verlopen of afgedankte keycards, die worden gebruikt om toegang te krijgen tot ruimtes zoals een kast of garage.

Aan de hand van de informatie op de keycard is het de onderzoekers gelukt om een hoofdsleutel (elektronische loper) te creëren met toegangsrechten voor het openen van elke deur in het gebouw. De hack is te realiseren zonder sporen achter te laten.

Geen sporen

F-Secure wilde onderzoeken of het mogelijk was om het elektronische sleutelsysteem te omzeilen zonder een spoor achter te laten. Timo Hirvonen, Senior Security Consultant bij F-Secure: ‘Je moet enorm veel dingen op orde krijgen. We waren pas in staat om ogenschijnlijk onschuldige gebreken te vinden nadat we diepgaand inzicht in het systeem hadden verworven. We combineerden deze gebreken op creatieve wijze om een methode te ontwikkelen voor het creëren van hoofdsleutels.’

Beveiligingsupdates

Naar aanleiding van het onderzoek van F-Secure heeft slotenfabrikant Assa Abloy inmiddels beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden in de software te verhelpen. De hotels die het systeem gebruiken, hebben de updates gekregen. De tools die door F-Secure in het onderzoek werden gebruikt om de sloten te hacken, zullen ze niet aan derden beschikbaar stellen.