15年前酒店房间失窃 安全专家成功破解门锁系统

2003年,芬兰资讯安全研究员图安文宁(Tomi Tuominen)到柏林参加一个安全会议,期间放在他酒店房间的一部手提电脑失窃。这部电脑属于他的朋友,载有一些敏感资讯。酒店职员找不到任何闯入房间的痕迹,电子记录亦显示只有职员进入过房间,因此职员未有认真处理失窃一事。

那部手提电脑不知所蹤,其消失亦无任何解释,但在资讯安全公司F-Secure任职的图安文宁及其同事希房宁(Timo Hirvonen)认为,酒店使用的电子锁可能有漏洞,让人能够偷进酒店房间而不在系统留下记录。

过期匙卡也可用来开锁

于是他们开始研究如何破解酒店的门锁系统,并选择了全球最大锁具製造商、以质素及保安见称的Assa Abloy作目标。两人首先重建酒店的电子门锁控制系统,再了解软件及硬件的设计,从中查看有甚幺漏洞可以用作攻击,最终成功破解Assa Abloy品牌VingCard Elsafe的酒店锁软件系统Vision。此外,两人亦发现可以利用Vision的漏洞,在同一网络中取得客户的敏感资料。

今个星期,他们将会在迈阿密举办的一场安全会议上介绍破解技巧,不仅可以複製匙卡上的无线射频辨识(RFID)码,更可製作主匙(master key)打开酒店任何房门。

破解系统的硬件方面,只需要一个300美元的RFID卡读写器和一张目标酒店的匙卡,后者不必是正在使用的匙卡,即使已过期5年也没有问题。VingCard的系统会为每张匙卡写入独特的密匙作解锁用,另外每家酒店也有可以开任何门的主匙。

F-Secure更拍摄了影片示範,破解者只需要带手掌大小的装置,接触一下匙卡便能取得资料,再计算出主匙︰

收窄搜索範围

这些密钥和主匙的设计本应有极多可能,难以被猜中,但图安文宁和希房宁说,他们在2003年则开始检查VingCard的编码系统时已发现一个潜在漏洞。透过读取匙卡上的密钥,他们寻找数字中的规律,从而收窄可能答案的数目。即使如此,可能的主匙码仍然太多,需要数千次尝试,无法在实际环境中应用。

两人多年来不断研究系统,这段期间VingCard亦已由磁卡改为使用RFID技术,他们仍继续分析收集得来的匙卡,并对取得的Vingard软件作逆向工程。两人在这10年期间从朋友处收集到超过1000张酒店匙卡,大约有30%属于Vision系统。

最终他们从该公司一个训练酒店员工的网页上,找到大幅收窄搜索範围,从而找出答案方法。不过基于保安理由,他们不打算进一步解释细节,仅提到他们发现要打开的门在酒店的位置,跟其匙卡编码有关。这个发现不但令他们可以製作主匙卡打开酒店内任何一道门,更能製作针对特定楼层或範围的匙卡,仅打开部分门锁,这就能让小偷伪装成酒店的服务员。

15年前酒店房间失窃 安全专家成功破解门锁系统

为何需要十多年时间才破解系统?F-Secure的网页解释,要了解门锁系统的複杂设计并不容易,Assa Abloy的产品设计得非常好。今次的破解方式并非源自软件的明显漏洞,而是透过彻底了解整个系统设计才找到的微小缺陷结合而成。图安文宁和希房宁又表示,假如有人全职研究破解系统,相信所需时间会短得多。

製造商推出安全更新

他们发现的破解方法只适用于VingCard上一代的Vision锁,无法破解新一代的Visionline产品,然而他们估计,全球仍然横跨160个国家的有14万间酒店受影响,更指Assa Abloy承认数以百万计的门锁受影响。《Wired》向Assa Abloy查询时得到的数字较少,在50万至100万之间,该公司指受影响的门锁总数难以量度,因为无法追蹤酒店更换了哪些旧门锁。

Assa Abloy强调他们的新产品使用不同技术,包括容许酒店住客以其智能手机开锁的系统。该公司一名高层表示,保安行业的挑战不断改变,某个时刻安全的系统在20年后未必安全。

两人在2017年3月已能在真实测试中製作酒店的主匙,并按惯例先通知Assa Abloy并合作研究如何修补漏洞。今年2月后者为软件推出安全更新,但由于VingCard的门锁未有连接网络,只能靠技术人员人手安装更新。图安文宁说︰「很可能有些酒店尚未解决问题。」

还有其他人能破解门锁?

图安文宁和希房宁表示,他们并不知道现实中是否有人用上这种破解方式。然而美国公民自由联盟(ACLU)在2012年的文章提到,有资讯安全研究人员把他打开酒店电子锁的发现卖给一家叫做Lockmasters Security Institute的机构,后者会提供课程教人打开不同厂商製作的酒店门锁,宣传资料中亦有包括VingCard。

此外,2010年有哈马斯高层在杜拜一家酒店的房中被暗杀,行兇者相信属于以色列情报机构摩萨德(Mossad),透过修改门锁程式进入其房暗杀——酒店所用的正是VingCard门锁。因此,虽然两位研究员未有公开破解详情,也不会发布他们所用的程式,使用有关门锁的酒店还是应该更新软件。F-Secure亦建议,酒店住客如果要把贵重物品留在房间的话,必须放在夹万内,留在房时使用防盗门鍊。

两人未有因为其发现从Assa Abloy收到任何金钱回报,他们指纯粹视研究为一项挑战。图安文宁说︰「有些人踢足球,有些人玩帆船,有些人拍照,这是我们的兴趣。」

相关文章︰

利用通讯网络漏洞 专家示範窃听国会议员手机 芬兰10岁童发现Instagram漏洞 获Facebook付1万美元奖金 TSA海关锁主匙照片网络流传 现可3D打印大量複製

资料来源︰

A One-Minute Attack Let Hackers Spoof Hotel Master Keys (Wired) A faked master key gives hackers access to millions of hotel rooms (Wired UK) F-Secure Researchers: Master Keys to Hotels Can be Created 'Out of Thin Air' (F-Secure) Hotel key cards, even invalid ones, help hackers break into rooms (Reuters) Hotel room keys an be hacked (F-Secure) Hackers built a 'master key' for millions of hotel rooms (ZDNet) Hotel Lock Security Vulnerability is Reminder of Government's Ambiguous Role in Protecting Security (ACLU)
上一篇: 下一篇: