Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

พบช่องโหว่บนระบบล็อกประตูโรงแรม เสี่ยงถูกใช้สร้าง Master Key เปิดได้ทุกห้อง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ F-Secure ออกมาเปิดเผยถึงช่องโหว่บนระบบล็อก Vision by VingCard ของ Assa Abloy ผู้ผลิตระบบล็อกให้แก่โรงแรมขนาดใหญ่ที่สุดในโลก ซึ่งช่วยให้แฮ็กเกอร์สามารถนำไปสร้าง Master Key ใช้เปิดห้องของโรงแรมหลายล้านห้องทั่วโลกได้

Vision by VingCard เป็นระบบล็อกที่ผลิตโดยบริษัท Assa Abloy ซึ่งถูกใช้งานในโรงแรมและสถานที่ต่างๆ มากกว่า 42,000 แห่งใน 166 ประเทศทั่วโลก โดยทีมนักวิจัยของ F-Secure ได้แก่ Tomi Tuominen และ Timo Hirvonen ออกมาเปิดเผยว่าค้นพบช่องโหว่การออกแบบระบบล็อกความรุนแรงสูง ซึ่งช่วยให้พวกเขาสามารถอ่านข้อมูลจากคีย์การ์ดและตัวล็อกเพื่อสร้าง Master Key สำหรับปลดล็อกประตูที่ใช้เทคโนโลยีล็อกของ Vision by VingCard ได้ทั้งหมด โดยไม่ทิ้งร่องรอยใดๆ ไว้

เพื่อทำการสร้าง Master Key นักวิจัยทั้งสองได้ออกแบบอุปกรณ์ชนิดพิเศษสำหรับเจาะช่องโหว่ของระบบล็อก Vision by VingCard ขึ้นมา (ดังแสดงในรูปด้านล่าง) โดยเริ่มจากนำอุปกรณ์ดังกล่าวไปอ่านข้อมูล Electronic Key จากคีย์การ์ดแบบ RFID หรือแถบแม่เหล็ก ซึ่งทำได้ไม่ยากนัก เช่น ยืนข้างๆ แขกหรือพนักงานที่ใส่คีย์การ์ดไว้ในกระเป๋า หรือจองโรงแรมแล้วนำคีย์การ์ดที่ได้มามาใช้ก็ได้

หลังจากนั้น นำอุปกรณ์ที่ทำไว้ ซึ่งจริงๆ แล้วเป็นตัวอ่าน/เขียน RFID ไปถือใกล้ๆ กับตัวล็อก อุปกรณ์ดังกล่าวจะทำการค้นหา Master Key ได้ภายในเวลาไม่ถึงนาที พวกเขาสามารถนำอุปกรณ์นี้ไปปลดล็อกประตูของโรงแรมทุกประตูได้ทันที หรือนำข้อมูล Master Key ที่ได้ไปเขียนทับบนคีย์การ์ดของตนก็ได้ ผู้ที่สนใจสามารถดูวิดีโอสาธิตการแฮ็กได้ด้านล่าง

F-Secure ได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยัง Assa Abloy ตั้งแต่เดือนเมษายน 2017 และใช้เวลานานเกือบปีในการแก้ไขปัญหา จนกระทั่ง Assa Abloy ออกซอฟต์แวร์สำหรับอุดช่องโหว่เรียบร้อยเมื่อเดือนกุมภาพันธ์ที่ผ่านมา อย่างไรก็ตาม ทาง F-Secure ปฏิเสธที่จะเปิดเผยข้อมูลเชิงเทคนิคเกี่ยวกับช่องโหว่ดังกล่าว

ที่มา: https://thehackernews.com/2018/04/hacking-hotel-master-key.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Apps มือถือกับช่องโหว่ ภัยคุกคามที่เกิดขึ้นใหม่ และมาตรการตอบโต้โดย i-Sprint

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย i-Sprint Webinar เรื่อง “Apps มือถือกับช่องโหว่ ภัยคุกคามที่เกิดขึ้นใหม่ และมาตรการตอบโต้” พร้อมชมสาธิตการโจมตีและป้องกัน Mobile Apps ด้วยโซลูชัน App Shielding จาก …

[Video Webinar] Why Data Breaches Should Concern You When It Comes to PDPA

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย CSL | AIS Webinar เรื่อง “Why Data Breaches Should Concern You When It Comes …