Pesquisadores de segurança construíram uma chave mestra que explora uma falha de projeto em um popular sistema de bloqueio eletrônico de hotéis, permitindo acesso irrestrito a todos os cômodos do prédio. O sistema de fechadura eletrônica, conhecido como Vision by VingCard e construído pelo fabricante sueco de fechaduras Assa Abloy, é usado em mais de 42.000 propriedades em 166 países, totalizando milhões de quartos de hotel - assim como garagens e unidades de armazenamento. Esses sistemas de fechadura eletrônica são comuns em hotéis, usados para fornecer controles detalhados sobre o local onde uma pessoa pode ir em um hotel - como seu quarto - e até mesmo restringir o andar em que o elevador para. E estas chaves podem ser apagadas e reutilizadas quando os hóspedes fazem o check-out. Acontece que esses cartões não são tão seguros quanto se pensava inicialmente.
Tomi Tuominen, da F-Secure, e Timo Hirvonen, que realizaram o trabalho, disseram que poderiam criar uma chave mestra "basicamente fora do ar". Qualquer cartão-chave serve. Mesmo as chaves antigas e expiradas, ou descartadas, retêm dados residuais suficientes para serem usadas no ataque. Usando um dispositivo portátil que executa um software personalizado, os pesquisadores podem roubar dados de um cartão-chave - usando a identificação por radiofrequência sem fio (RFID) ou a tarja magnética. Esse dispositivo, então, manipula os dados de chaves roubadas, que identificam o hotel, para produzir um token de acesso com o mais alto nível de privilégios, servindo efetivamente como uma chave mestra para todos os cômodos do prédio.
Os pesquisadores começaram seus esforços de desvio de chave em 2003, quando o laptop de um colega foi roubado de um quarto de hotel. Sem sinal de entrada forçada ou acesso não autorizado ao quarto, os funcionários do hotel teriam descartado o incidente. Os pesquisadores se propuseram a encontrar uma marca popular de cadeado inteligente para examinar. Em suas palavras, encontrar e construir a chave mestra estava longe de ser fácil, e tomou "milhares de horas de trabalho" em uma base on-off, e usando tentativa e erro. "Desenvolver o ataque levou uma quantidade considerável de tempo e esforço", disseram Tuominen e Hirvonen em um email para a ZDNet. "Construímos um ambiente de demonstração de RFID em 2015 e conseguimos criar nossa primeira chave mestra para um hotel real em março de 2017", disseram eles. "Se alguém fizesse isso em tempo integral, provavelmente demoraria consideravelmente menos tempo. Houve boas notícias", disseram os pesquisadores. "Não sabemos de mais ninguém realizando esse ataque em particular no momento", disseram os pesquisadores, minimizando o risco para os clientes do hotel.
Sua descoberta também levou Assa Abloy a liberar um patch de segurança para corrigir as falhas. De acordo com o cronograma de divulgação, Assa Abloy foi informado pela primeira vez sobre as vulnerabilidades um mês depois, em abril de 2017, e se reuniu novamente durante vários meses para corrigir as falhas. O software é corrigido no servidor central, mas o firmware em cada bloqueio precisa ser atualizado.
"Isso exige que alguém esteja fisicamente presente na fechadura", escreveram os pesquisadores. Mas poucos detalhes estão disponíveis sobre o patch. Um porta-voz da Assa Abloy não retornou vários e-mails e telefonemas solicitando comentários. A empresa entregou o patch aos clientes no início de 2018, mas não se sabe quantos hotéis implantaram a correção. Vários grandes hotéis, incluindo o Waldorf Astoria, em Berlim, o Grand Hyatt, em San Francisco, e o Renaissance Downtown, em Toronto, são considerados clientes do fabricante de fechaduras sueco. Entramos em contato com representantes do Hyatt e do Marriott, mas não recebemos nenhuma resposta no momento da publicação. Um porta-voz da Hilton disse que a empresa estava "ciente" das vulnerabilidades. "A segurança de nossos hóspedes é de suma importância. Estamos trabalhando em estreita colaboração com a Ving para remediar sistemas impactados em um número limitado de hotéis", disse o porta-voz. Os pesquisadores pediram aos prédios que usassem as fechaduras para atualizar o mais rápido possível.
Comentários