เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

พบช่องโหว่บนระบบล็อกประตูโรงแรม เสี่ยงถูกใช้สร้าง Master Key เปิดได้ทุกห้อง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ F-Secure ออกมาเปิดเผยถึงช่องโหว่บนระบบล็อก Vision by VingCard ของ Assa Abloy ผู้ผลิตระบบล็อกให้แก่โรงแรมขนาดใหญ่ที่สุดในโลก ซึ่งช่วยให้แฮ็กเกอร์สามารถนำไปสร้าง Master Key ใช้เปิดห้องของโรงแรมหลายล้านห้องทั่วโลกได้

Vision by VingCard เป็นระบบล็อกที่ผลิตโดยบริษัท Assa Abloy ซึ่งถูกใช้งานในโรงแรมและสถานที่ต่างๆ มากกว่า 42,000 แห่งใน 166 ประเทศทั่วโลก โดยทีมนักวิจัยของ F-Secure ได้แก่ Tomi Tuominen และ Timo Hirvonen ออกมาเปิดเผยว่าค้นพบช่องโหว่การออกแบบระบบล็อกความรุนแรงสูง ซึ่งช่วยให้พวกเขาสามารถอ่านข้อมูลจากคีย์การ์ดและตัวล็อกเพื่อสร้าง Master Key สำหรับปลดล็อกประตูที่ใช้เทคโนโลยีล็อกของ Vision by VingCard ได้ทั้งหมด โดยไม่ทิ้งร่องรอยใดๆ ไว้

เพื่อทำการสร้าง Master Key นักวิจัยทั้งสองได้ออกแบบอุปกรณ์ชนิดพิเศษสำหรับเจาะช่องโหว่ของระบบล็อก Vision by VingCard ขึ้นมา (ดังแสดงในรูปด้านล่าง) โดยเริ่มจากนำอุปกรณ์ดังกล่าวไปอ่านข้อมูล Electronic Key จากคีย์การ์ดแบบ RFID หรือแถบแม่เหล็ก ซึ่งทำได้ไม่ยากนัก เช่น ยืนข้างๆ แขกหรือพนักงานที่ใส่คีย์การ์ดไว้ในกระเป๋า หรือจองโรงแรมแล้วนำคีย์การ์ดที่ได้มามาใช้ก็ได้

หลังจากนั้น นำอุปกรณ์ที่ทำไว้ ซึ่งจริงๆ แล้วเป็นตัวอ่าน/เขียน RFID ไปถือใกล้ๆ กับตัวล็อก อุปกรณ์ดังกล่าวจะทำการค้นหา Master Key ได้ภายในเวลาไม่ถึงนาที พวกเขาสามารถนำอุปกรณ์นี้ไปปลดล็อกประตูของโรงแรมทุกประตูได้ทันที หรือนำข้อมูล Master Key ที่ได้ไปเขียนทับบนคีย์การ์ดของตนก็ได้ ผู้ที่สนใจสามารถดูวิดีโอสาธิตการแฮ็กได้ด้านล่าง

F-Secure ได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยัง Assa Abloy ตั้งแต่เดือนเมษายน 2017 และใช้เวลานานเกือบปีในการแก้ไขปัญหา จนกระทั่ง Assa Abloy ออกซอฟต์แวร์สำหรับอุดช่องโหว่เรียบร้อยเมื่อเดือนกุมภาพันธ์ที่ผ่านมา อย่างไรก็ตาม ทาง F-Secure ปฏิเสธที่จะเปิดเผยข้อมูลเชิงเทคนิคเกี่ยวกับช่องโหว่ดังกล่าว

ที่มา: https://thehackernews.com/2018/04/hacking-hotel-master-key.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

FBI เตือนฟีเจอร์ Email Forwarding ถูกคนร้ายลอบใช้เพื่อทำ BEC

FBI ได้ออกโรงเตือนว่าพบการใช้ฟีเจอร์ Auto Email Forwarding ในส่วนหนึ่งของการบวนการโจมตีแบบ BEC หรือ Business Email Compromise

Google เข้าซื้อกิจการ Actifio เสริมแกร่งรุกตลาดด้าน Business Continuity

Google ได้ยกระดับขยายตลาดด้าน Backup และ DR ด้วยการประกาศเข้าซื้อกิจการ Actifio