Canais
Internacional
publicado em 05 de maio de 2018 - 23h14

Hackers construíram 'chave mestra' para milhões de quartos de hotel

Uma nova pesquisa mostra como os hackers podem manipular os cartões-chave para obter acesso a um prédio inteiro.

Da Redação

Pesquisadores de segurança construíram uma chave mestra que explora uma falha de projeto em um popular sistema de bloqueio eletrônico de hotéis, permitindo acesso irrestrito a todos os cômodos do prédio. O sistema de fechadura eletrônica, conhecido como Vision by VingCard e construído pelo fabricante sueco de fechaduras Assa Abloy, é usado em mais de 42.000 propriedades em 166 países, totalizando milhões de quartos de hotel - assim como garagens e unidades de armazenamento. Esses sistemas de fechadura eletrônica são comuns em hotéis, usados para fornecer controles detalhados sobre o local onde uma pessoa pode ir em um hotel - como seu quarto - e até mesmo restringir o andar em que o elevador para. E estas chaves podem ser apagadas e reutilizadas quando os hóspedes fazem o check-out. Acontece que esses cartões não são tão seguros quanto se pensava inicialmente.

Tomi Tuominen, da F-Secure, e Timo Hirvonen, que realizaram o trabalho, disseram que poderiam criar uma chave mestra "basicamente fora do ar". Qualquer cartão-chave serve. Mesmo as chaves antigas e expiradas, ou descartadas, retêm dados residuais suficientes para serem usadas no ataque. Usando um dispositivo portátil que executa um software personalizado, os pesquisadores podem roubar dados de um cartão-chave - usando a identificação por radiofrequência sem fio (RFID) ou a tarja magnética. Esse dispositivo, então, manipula os dados de chaves roubadas, que identificam o hotel, para produzir um token de acesso com o mais alto nível de privilégios, servindo efetivamente como uma chave mestra para todos os cômodos do prédio.

Os pesquisadores começaram seus esforços de desvio de chave em 2003, quando o laptop de um colega foi roubado de um quarto de hotel. Sem sinal de entrada forçada ou acesso não autorizado ao quarto, os funcionários do hotel teriam descartado o incidente. Os pesquisadores se propuseram a encontrar uma marca popular de cadeado inteligente para examinar. Em suas palavras, encontrar e construir a chave mestra estava longe de ser fácil, e tomou "milhares de horas de trabalho" em uma base on-off, e usando tentativa e erro. "Desenvolver o ataque levou uma quantidade considerável de tempo e esforço", disseram Tuominen e Hirvonen em um email para a ZDNet. "Construímos um ambiente de demonstração de RFID em 2015 e conseguimos criar nossa primeira chave mestra para um hotel real em março de 2017", disseram eles. "Se alguém fizesse isso em tempo integral, provavelmente demoraria consideravelmente menos tempo. Houve boas notícias", disseram os pesquisadores. "Não sabemos de mais ninguém realizando esse ataque em particular no momento", disseram os pesquisadores, minimizando o risco para os clientes do hotel.

Sua descoberta também levou Assa Abloy a liberar um patch de segurança para corrigir as falhas. De acordo com o cronograma de divulgação, Assa Abloy foi informado pela primeira vez sobre as vulnerabilidades um mês depois, em abril de 2017, e se reuniu novamente durante vários meses para corrigir as falhas. O software é corrigido no servidor central, mas o firmware em cada bloqueio precisa ser atualizado.

"Isso exige que alguém esteja fisicamente presente na fechadura", escreveram os pesquisadores. Mas poucos detalhes estão disponíveis sobre o patch. Um porta-voz da Assa Abloy não retornou vários e-mails e telefonemas solicitando comentários. A empresa entregou o patch aos clientes no início de 2018, mas não se sabe quantos hotéis implantaram a correção. Vários grandes hotéis, incluindo o Waldorf Astoria, em Berlim, o Grand Hyatt, em San Francisco, e o Renaissance Downtown, em Toronto, são considerados clientes do fabricante de fechaduras sueco. Entramos em contato com representantes do Hyatt e do Marriott, mas não recebemos nenhuma resposta no momento da publicação. Um porta-voz da Hilton disse que a empresa estava "ciente" das vulnerabilidades. "A segurança de nossos hóspedes é de suma importância. Estamos trabalhando em estreita colaboração com a Ving para remediar sistemas impactados em um número limitado de hotéis", disse o porta-voz. Os pesquisadores pediram aos prédios que usassem as fechaduras para atualizar o mais rápido possível.

Texto publicado na ZDNET, by Zack Whittaker for Zero Day

Fonte: Assessoria

Veja também:

24/10/2018
Nova York e Porto Rico assinam 1º acordo city-to-island da história
Nova parceria de turismo destaca conexão e suporte entre os dois destinos.
17/03/2018
ADSMUNDO e SPORTSTOUR têm novo representante no Brasil
Marcos e Cibele Professiori, da Probusiness, respondem pelos receptivos chilenos.
24/08/2017
Uruguai inova e utiliza validação digital para Tax Free
País implanta tecnologia de ponta em pontos alfandegários e torna-se o pioneiro na América Latina em autogestão do sistema de livre imposto.
11/08/2017
MCI USA anuncia a compra da Wyndham Jade
Com isso, a MCI cresce seu mercado nos Estados Unidos e deixa claro suas intenções de crescer ainda mais em curto prazo no país.
Newsletter
Receba as novidades