พบช่องโหว่บนระบบล็อกประตูโรงแรม เสี่ยงถูกใช้สร้าง Master Key เปิดได้ทุกห้อง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ F-Secure ออกมาเปิดเผยถึงช่องโหว่บนระบบล็อก Vision by VingCard ของ Assa Abloy ผู้ผลิตระบบล็อกให้แก่โรงแรมขนาดใหญ่ที่สุดในโลก ซึ่งช่วยให้แฮ็กเกอร์สามารถนำไปสร้าง Master Key ใช้เปิดห้องของโรงแรมหลายล้านห้องทั่วโลกได้

Vision by VingCard เป็นระบบล็อกที่ผลิตโดยบริษัท Assa Abloy ซึ่งถูกใช้งานในโรงแรมและสถานที่ต่างๆ มากกว่า 42,000 แห่งใน 166 ประเทศทั่วโลก โดยทีมนักวิจัยของ F-Secure ได้แก่ Tomi Tuominen และ Timo Hirvonen ออกมาเปิดเผยว่าค้นพบช่องโหว่การออกแบบระบบล็อกความรุนแรงสูง ซึ่งช่วยให้พวกเขาสามารถอ่านข้อมูลจากคีย์การ์ดและตัวล็อกเพื่อสร้าง Master Key สำหรับปลดล็อกประตูที่ใช้เทคโนโลยีล็อกของ Vision by VingCard ได้ทั้งหมด โดยไม่ทิ้งร่องรอยใดๆ ไว้

เพื่อทำการสร้าง Master Key นักวิจัยทั้งสองได้ออกแบบอุปกรณ์ชนิดพิเศษสำหรับเจาะช่องโหว่ของระบบล็อก Vision by VingCard ขึ้นมา (ดังแสดงในรูปด้านล่าง) โดยเริ่มจากนำอุปกรณ์ดังกล่าวไปอ่านข้อมูล Electronic Key จากคีย์การ์ดแบบ RFID หรือแถบแม่เหล็ก ซึ่งทำได้ไม่ยากนัก เช่น ยืนข้างๆ แขกหรือพนักงานที่ใส่คีย์การ์ดไว้ในกระเป๋า หรือจองโรงแรมแล้วนำคีย์การ์ดที่ได้มามาใช้ก็ได้

หลังจากนั้น นำอุปกรณ์ที่ทำไว้ ซึ่งจริงๆ แล้วเป็นตัวอ่าน/เขียน RFID ไปถือใกล้ๆ กับตัวล็อก อุปกรณ์ดังกล่าวจะทำการค้นหา Master Key ได้ภายในเวลาไม่ถึงนาที พวกเขาสามารถนำอุปกรณ์นี้ไปปลดล็อกประตูของโรงแรมทุกประตูได้ทันที หรือนำข้อมูล Master Key ที่ได้ไปเขียนทับบนคีย์การ์ดของตนก็ได้ ผู้ที่สนใจสามารถดูวิดีโอสาธิตการแฮ็กได้ด้านล่าง

F-Secure ได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยัง Assa Abloy ตั้งแต่เดือนเมษายน 2017 และใช้เวลานานเกือบปีในการแก้ไขปัญหา จนกระทั่ง Assa Abloy ออกซอฟต์แวร์สำหรับอุดช่องโหว่เรียบร้อยเมื่อเดือนกุมภาพันธ์ที่ผ่านมา อย่างไรก็ตาม ทาง F-Secure ปฏิเสธที่จะเปิดเผยข้อมูลเชิงเทคนิคเกี่ยวกับช่องโหว่ดังกล่าว

ที่มา: https://thehackernews.com/2018/04/hacking-hotel-master-key.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้