Tomi Tuominen e Timo Hirvonen, esperti di sicurezza per F-Secure, hanno creato una chiave master in grado di aprire milioni di porte di camere d’albergo. Come entrambi hanno spiegato, il pericolo esiste con i sistemi attuali e “lo creiamo fondamentalmente dal nulla“.
L’attuale sistema della maggior parte delle serrature elettroniche è conosciuta come Vision by VingCard, costruito dal produttore di serrature svedese Assa Abloy, ed è utilizzato in più di 42.000 proprietà in 166 paesi. Vale a dire, in milioni di camere, come pure come garage e centri di stoccaggio.
Si tratta di sistemi comuni di alberghi, utilizzati dal personale per fornire controlli nei posti e nelle aree in cui può andare una persona in un hotel, come la sua camera, o anche per limitare il pavimento dove l’ascensore si ferma. Chiavi che di solito possono essere “ripulite” (ripristinate) e riutilizzate quando gli ospiti effettuano il check-out.
Tuttavia, sembra che non siano così sicure. Tuominen e Hirvonen hanno costruito una chiave master che sfrutta un difetto di progettazione nel più popolare sistema di blocco elettronico degli hotel, consentendo un accesso illimitato a tutte le stanze dell’edificio. Inoltre, come spiegano, funziona con qualsiasi carta con password, anche vecchie chiavi che sono già scadute, o scartate, e conserva abbastanza dati da utilizzare nell’intrusione in camera.
Utilizzando un dispositivo portatile che funziona con un software personalizzato, i ricercatori possono rubare i dati da una chiave magnetica, tramite l’identificazione a radiofrequenza wireless (RFID) o la banda magnetica. Successivamente, quel dispositivo manipola i dati della chiave rubata, che identifica l’hotel, per produrre un token di accesso con il livello più alto di privilegi, che funge da chiave principale per ogni stanza nell’edificio.
Un lavoro che ha richiesto più di un decennio. “Non sappiamo di persone che vogliano svolgere questo particolare attacco oggi”, riducendo al minimo il potenziale rischio per i clienti.