april 25, 2018 |

F-Secure waarschuwt voor lek in beveiliging van hotelkamersleutels: lopers kunnen praktisch vanuit het niets worden nagemaakt

Onderzoekers ontdekken dat digitale keycards van wereldwijde hotelketens kunnen worden gehackt om toegang te krijgen tot alle hotelkamers.

Nieuwegein – Onderzoekers van F-Secure hebben ontdekt dat een elektronisch sleutelsysteem dat door hotels in alle delen van de wereld wordt gebruikt, kan worden gehackt om toegang te krijgen tot alle hotelkamers. Het team van F-Secure trof ontwerpfouten aan in VISON by VingCard, de software van het digitale sleutelsysteem. Deze software wordt gebruikt om miljoenen hotelkamers in alle delen van de wereld te vergrendelen. De onderzoeksbevindingen hebben Assa Abloy, ‘s werelds grootste slotenfabrikant, ertoe aangezet om beveiligingsupdates voor de software beschikbaar te stellen die de kwetsbaarheden verhelpen.

De hack die de onderzoekers van F-Secure ontwikkelden omvat het gebruik van een standaard elektronische keycard om toegang tot hotelkamers te krijgen. Dit kan gaan om keycards die zijn verlopen en afgedankt en keycards die worden gebruikt om toegang te krijgen tot ruimtes zoals een kast of garage. De onderzoekers waren in staat om aan de hand van informatie op de keycard een hoofdsleutel (elektronische loper) te creëren met toegangsrechten voor het openen van elke deur in het gebouw. De hack kan worden uitgevoerd zonder dat iemand daar erg in heeft.

“Je kunt je voorstellen wat iemand van kwade wil zou kunnen doen als die elke hotelkamer kan binnenkomen met een hoofdsleutel die praktisch uit het niets is gereproduceerd”, zegt Tomi Tuominen, practice leader bij F-Secure Cyber Security Services. “Het is ons niet bekend of iemand reeds gebruik heeft gemaakt van deze specifieke hack.”

De belangstelling van de onderzoekers voor het hacken van sloten van hotelkamers werd tien jaar geleden gewekt, toen de laptop van een collega uit een hotelkamer werd gestolen tijdens een beveiligingscongres. Toen zij melding maakten van de diefstal, wees het hotelpersoneel de klacht van de hand omdat er geen enkel teken van braak was en er in de logbestanden van het sleutelsysteem geen bewijs werd aangetroffen van ongeoorloofde toegang tot de hotelkamer. De onderzoekers besloten daarop om nader onderzoek te doen. Ze kozen ervoor om hun pijlen te richten op een digitaal sleutelsysteem van een merk dat bekend stond om zijn kwaliteit en veiligheid. De kwetsbaarheden die werden aangetroffen omvatten geen in het oog springende beveiligingslekken. Er was diepgaand inzicht nodig in het ontwerp van het complete systeem om kleine gebreken te vinden die in combinatie de hack mogelijk maakten. Het onderzoek nam duizenden uren in beslag en vond met tussenpauzes plaats, met veel vallen en opstaan.

“We wilden nagaan of het mogelijk was om het elektronische sleutelsysteem te omzeilen zonder een spoor achter te laten”, zegt Timo Hirvonen, senior security consultant bij F-Secure. “Het is bijzonder moeilijk om een veilig systeem voor toegangscontrole te ontwikkelen, omdat je enorm veel dingen op orde moet krijgen. We waren pas in staat om ogenschijnlijk onschuldige gebreken te vinden nadat we diepgaand inzicht in het systeem hadden verworven. We combineerden deze gebreken op creatieve wijze om een methode te ontwikkelen voor het creëren van hoofdsleutels.”

F-Secure heeft Assa Abloy op de hoogte gesteld van de onderzoeksbevindingen en het afgelopen jaar met de slotenmaker samengewerkt aan de ontwikkeling van beveiligingsupdates die deze gebreken verhelpen. Deze updates zijn inmiddels beschikbaar gesteld aan hotels die het systeem gebruiken.

“Ik wil het R&D-team van Assa Abloy graag persoonlijk bedanken voor zijn fantastische samenwerking bij het verhelpen van deze problemen”, aldus Tuominen. “Vanwege hun toewijding en bereidheid om een oplossing te vinden voor de problemen die ons onderzoek aan het licht bracht, is de hotelwereld er een stuk veiliger op geworden. We raden elk hotel dat deze software gebruikt aan om de beveiligingsupdates zo snel mogelijk te installeren.”

Disclaimer: Tijdens het onderzoek werden geen hotelkamers betreden. F-Secure zal de tools die voor het onderzoek werden gebruikt niet aan derden beschikbaar stellen.

Over F-Secure

Niemand kent cyber security zoals F-Secure. Al drie decennia lang stimuleert F-Secure innovaties op het gebied van cyber beveiliging en beschermt tienduizenden bedrijven en miljoenen mensen. Met onovertroffen ervaring op het gebied van eindpuntbeveiliging evenals detectie en respons beschermt F-Secure ondernemingen en consumenten tegen alles, variërend van geavanceerde cyberaanvallen en datalekken tot wijdverspreide ransomware-virussen. De geavanceerde technologie van F-Secure combineert de kracht van machinaal leren met de menselijke expertise van zijn wereldberoemde beveiligingslaboratoria voor een unieke aanpak, bekend onder de naam Live Security. De beveiligingsexperts van F-Secure hebben deelgenomen aan meer Europese onderzoeken naar cybercriminaliteit dan welk ander bedrijf op de markt. Haar producten worden over de hele wereld verkocht door meer dan 200 breedband- en mobiele operators en duizenden resellers.

Opgericht in 1988, F-Secure is genoteerd op de NASDAQ OMX Helsinki Ltd.

f-secure.com twitter.com/fsecure | facebook.com/f-secure

Sabine Steen-Lakerveld

sr consultant

(033) 303 33 30

sabine@dok30.nl

Actualiteiten
Persarchieven
Jaar selecteren

Latest Press Releases

april 17, 2019

Energiesector onder vuur door toenemende cyberspionage en -sabotage

Onderzoeksrapport van F-Secure laat zien dat cybercriminelen gewiekst en uiterst geduldig te werk gaan, terwijl energiebedrijven gebruik blijven maken van verouderde systemen en technologie om geld te besparen. Gebrekkige beveiligingsmechanismen, prioritering van incidenten en alertheid spelen hackers in de kaart.

maart 6, 2019

Aantal cyberaanvallen stijgt met 32% in 2018

Onderzoek van F-Secure laat groeiend aantal cyberaanvallen zien terwijl bedrijven worstelen met detectie

februari 21, 2019

F-Secure sleept twee ‘Best Protection Awards’ van AV-TEST in de wacht

Nieuwegein – F-Secure is bekroond met twee Best Protection Awards van het AV-TEST Institute. Het totaal komt daarmee op zeven awards te staan. F-Secure Protection Service for Business (PSB) en F-Secure SAFE werden met een Best Protection Award bekroond na de strenge testprocedures van AV-Test met succes te hebben doorstaan. “F-Secure SAFE en PSB Computer […]

januari 11, 2019

F-Secure Benelux benoemt Kevin Groen tot Business Development Manager

Nieuwegein – Cybersecurityspecialist F-Secure benoemt Kevin Groen tot Business Development Manager in de Benelux. In deze functie richt Groen zich op het adviseren van klanten over risicominimalisatie van dataverlies en de mogelijkheden voor totale bescherming tegen cyberaanvallen. Van het voorspellen en voorkomen van cyberaanvallen tot het detecteren en reageren hierop. Groen werkte eerder als Sales […]

%d bloggers liken dit: