Intel 300 Series

F-Secure: Tag der offenen Hoteltüren

reported by doelf, Donnerstag der 26.04.2018, 17:11:38 Uhr

Die beiden Finnen Timo Hirvonen und Tomi Tuominen vom Sicherheitsspezialisten F-Secure haben sich mit dem elektronischen Schlosssystem "Vision by VingCard", welches weltweit von Hotels eingesetzt wird, beschäftigt. Und über Design-Fehler in der System-Software dieses Schlosssystems konnten sie sich einen Generalschlüssel mit Zutritt zu allen Zimmern basteln.

Für ihren Angriff benötigten sie lediglich einen elektronischen Schlüssel ihres Angriffsziels. Dieser konnte schon lange abgelaufen oder auf den Zugang zu Garagen oder den Zugriff auf bestimmte Schränke beschränkt sein. Wichtig ist einzig und alleine, dass sich der darauf gespeicherte Schlüssel auslesen lässt, denn mit diesem können die Sicherheitsforscher einen Generalschlüssel für das ganze Hotel generieren. Und dieser öffnet dann jede Tür, ohne dabei irgendwelche Spuren zu hinterlassen.

Hirvonen und Tuominen kam die Idee, als einem Kollegen während einer Sicherheitskonferenz das Laptop aus seinem Hotelzimmer gestohlen wurde. Dabei gab es keine Anzeichen für einen Einbruch und auch digitale Spuren hatten die Diebe nicht hinterlassen. Also sahen sich die beiden Experten das System "Vision by VingCard" vom renommierten Hersteller Assa Abloy genauer an und mussten feststellen, dass sich dieser keine groben Schnitzer geleistet hatte. Nach mehreren tausend Stunden hatten sie lediglich ein paar kleinere Fehler gefunden, die sich allerdings zu einem umfassenden Angriff kombinieren ließen.

Bereits im vergangenen Jahr kontaktierte F-Secure den Hersteller des Schlosssystems und erarbeitete mit diesem Software-Updates, welche bereits an die betroffenen Kunden verteilt wurden. Laut F-Secure zeigten sich die Entwickler von Assa Abloy dabei hochmotiviert, die Schwachstellen schnellstmöglich zu beheben. Nun liegt es in der Hand der Hotels, diese Updates auch einzuspielen. F-Secure weist scherzhaft darauf hin, dass während der Untersuchungen keine Hotelzimmer zu Schaden gekommen sind. Weitere Einzelheiten oder Exploit-Code wird das Unternehmen nicht veröffentlichen.