Con una chiave qualsiasi è possibile ottenere un master che consente l’accesso a tutte le stanze

I ricercatori di F-Secure hanno scoperto una falla nel sistema elettronico di chiusura Vision by VingCard, utilizzato da molte catene alberghiere, che potrebbe essere sfruttato per ottenere accesso alle stanze. La falla di progettazione nel software usato per proteggere milioni di camere d’albergo nel mondo ha spinto il produttore, Assa Abloy, a rilasciare aggiornamenti software con security fix per mitigare la problematica.

L’attacco si basa sull’utilizzo di qualsiasi chiave elettronica ordinaria di un hotel – anche scaduta, scartata, o usata per accedere a spazi come il garage o il deposito. Usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza nell’edificio. L’attacco può essere sferrato senza essere notati.

“Potete immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi stanza di un hotel, con una chiave master creata fondamentalmente dal nulla,” ha dichiarato Tomi Tuominen, Practice Leader in F-Secure Cyber Security Services. “Fino ad ora comunque non si ha evidenza che qualcun altro abbia tentato di sferrare questo particolare tipo di attacco.”

L’interesse dei ricercatori di F-Secure è nato una decina di anni fa, quando a un collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando i ricercatori hanno denunciato il furto, lo staff dell’hotel non ha preso in considerazione la loro segnalazione, per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto di prendere di mira un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. È servita un’analisi approfondita della progettazione dell’intero sistema per identificare piccole falle che, una volta combinate, hanno prodotto l’attacco. La ricerca ha richiesto diverse migliaia di ore nel corso degli anni ed è stata condotta su base continua, con un numero considerevole di prove ed errori.

“Volevamo scoprire se sia possibile bypassare il sistema di chiusura elettronica senza lasciare tracce,” ha spiegato Timo Hirvonen, Senior Security Consultant di F-Secure. “Costruire un sistema di controllo accessi sicuro è molto difficile perché ci sono così tante cose che devi fare bene. Solo dopo che abbiamo capito completamente come era stato progettato il sistema, siamo stati in grado di identificare difetti apparentemente innocui. Abbiamo combinato in modo creativo questi difetti per arrivare a creare un metodo per realizzare chiavi master.”

F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore nel corso dell’ultimo anno per implementare i fix al software. Aggiornamenti sono stati resi disponibili alle realtà interessate.