28/04/2018 di Redazione

Stanze di hotel a rischio, la chiave elettronica è facile da hackerare

I ricercatori di F-Secure hanno scoperto una falla nel software di Assa Abloy: usando una tessera scaduta, scartata o fatta per accedere a spazi comuni di un hotel è stato possibile creare una chiave master. Il problema è però stato risolto.

immagine.jpg

 

Altro che sicurezza, altro che sistema a prova di intrusione: le serrature elettroniche delle camere d'albergo sono un bersaglio facile per gli hacker. Sebbene non esistano episodi conclamati di violazioni di questo tipo, creare una chiave elettronica con cui poter accedere alla stanza di un ignaro ospite dell'albergo sembra tutt'altro che impossibile. La società di cybersicurezza F-Secure ha studiato il problema per parecchi anni, concentrando l'attenzione sui sistemi di Assa Abloy, società svedese leader nel campo delle serrature. Ebbene: i ricercatori sono riusciti ad hackerare una chiave elettronica di questa azienda, nota per la qualità è sicurezza dei suoi prodotti.

L'interesse di F-Secure per questo tema ha un'origine curiosa e leggermente tragicomica: una decina di anni fa un esperto dell'azienda era ospite di un hotel per una conferenza sulla sicurezza informatica, soggiorno rovinato dal furto di un notebook misteriosamente sparito dalla sua stanza. Nessuna traccia di scasso sulla porta, né evidenze di accessi non autorizzati negli entry log della stanza. Al di là delle ipotesi sull'identità del ladro (a voler pensar male, si sospetterebbe di qualcuno di interno al personale dell'hotel), il fattaccio ha fatto nascere in F-Secure la voglia di indagare sull'affidabilità delle serrature elettroniche come barriera alle intrusioni.

F-Secure si è messa al lavoro: la ricerca, fa sapere l'azienda, “ha richiesto diverse migliaia di ore nel corso degli anni ed è stata condotta su base continua, con un numero considerevole di prove ed errori”. Indagini e analisi del software delle chiavi Vision by VingCard hanno permesso di identificare alcune piccole falle che, combinate fra loro, consentivano di bypassare il sistema di chiusura elettronica di Assa Abloy senza lasciare tracce. La sintesi è chiara: le con queste vulnerabilità le chiavi elettroniche di un marchio diffusissimo negli hotel di tutto il mondo possono essere hackerate per ottenere accesso a qualsiasi stanza.

Un malintenzionato dovrebbe semplicemente procurarsi una scheda che sia scaduta o scartata o che sia nata per dare accesso al garage, al deposito o ad altri spazi comuni dell'hotel. Usando le informazioni presenti sulla chiave è possibile (come hanno fatto i ricercatori di F-Secure) creare una chiave master in grado di aprire qualsiasi stanza nell’edificio, anche quelle occupate dagli ospiti. “Fino ad ora comunque non si ha evidenza che qualcun altro abbia tentato di sferrare questo particolare tipo di attacco”, ha sottolineato Tomi Tuominen, practice leader di F-Secure, ma è anche vero per ammissione dello stesso vendor che tale attività può essere eseguita senza dare nell'occhio e senza lasciare tracce. Informata del problema, Assa Abloy ha provveduto a distribuire alcuni aggiornamenti software che hanno risolto le vulnerabilità.

ARTICOLI CORRELATI