Tækni & vísindi | mbl | 25.4.2018 | 19:33 | Uppfært 21:00

Hótelhurðir viðkvæmar fyrir „hakki“

Búnaðinn sem F-Secure notaði til að opna hótelherbergi má einnig nota til að komast með lyftu á læstar hæðir. Skjáskot/F-Secure

Auðvelt er að „hakka“ milljónir hurða á hótelherbergjum víða um heim sem eru með rafræna læsingu. Þetta segja rannsakendur sem segja galla í hugbúnaði læsinganna fela í sér að þeir gátu útbúið höfuðlykil sem opnar dyrnar án þess að skrá það í kerfið.

BBC hefur eftir F-Secure-teyminu að þeir hafi unnið með framleiðanda lásanna sl. ár að því að laga vandann. Hinn sænski framleiðandi lásanna vill hins vegar meina að hættan sé ekki svo mikil hjá þeim hótelum sem enn hafa ekki uppfært búnað sinn.

Tæki sérfræðiteymi ár að endurtaka verkið

„Vision Software-hugbúnaðurinn er 20 ára gömul vara, sem tókst að brjótast inn í eftir 12 ár og þúsundir vinnustunda tveggja starfsmanna F-Secure,“ segir talsmaður Assa Abloy.

„Þessir gömlu lásar eru aðeins lítið brot [af þeim lásum sem eru í notkun] og það er óðum verið að skipta þeim út fyrir nýja tækni.“

Bætti talsmaðurinn við að hótel hafi byrjað að uppfæra lása sína fyrir um tveimur mánuðum.

„Öll stafræn tækni, líkt og allur hugbúnaður er viðkvæmur fyrir tölvuárásum. Það myndi hins vegar taka stórt teymi sérfræðinga nokkur ár að endurtaka þetta.“

Lásar Assa Abloy eru í notkun hjá mörgum af stærstu hótelkeðjum heims, m.a. hjá Intercontinental, Hyatt, Radisson og Sheraton. Fyrirtækið gefur hins vegar ekki upp hver hótelanna kunni enn að vera að nota þessa gömlu útgáfu af rafrænu læsingunum.

Hugmyndin kviknaði eftir innbrot í hótelherbergi

Rannsakendur F-Secure segjast hafa hafið rannsókn sína á lásunum eftir að fartölvu eins starfsmanna þeirra var stolið úr hótelherbergi án þess að þjófurinn hefði skilið eftir nokkur merki um að farið hefði verið inn í herbergið í óleyfi.

„Við vildum komast að því hvort að það væri mögulegt að fara fram hjá rafrænu læsingunni án þess að skilja eftir sig spor,“ segir Timo Hirvonen hjá F-Secure.

„Það var svo eftir að við skildum til fulls hvernig hún var hönnuð að við gátum fundið galla sem virtust saklausir og gátum þannig útbúið höfuðlykil.“

Sagði hann m.a. hægt að lesa upplýsingar af kortalyklum sem ekki væru lengur í notkun og nota þær til að komast inn í læsinguna. Það sama gilti raunar um kortalykla sem ekki hefðu verið notaðir til að opna viðkomandi herbergi, heldur bílaskýli eða aðra hluta hótelsins.

Þá sagði Hirvonen einnig hægt að nota höfuðlykilinn til að senda lyftur á milli hæða, t.a.m. á lokaða hæð, ef sama kerfi er í notkun þar.

Að sögn BBC hafa forsvarsmenn F-Secure hins vegar staðfest að fyrirtækið muni hvorki opinbera upplýsingarnar né vélbúnaðinn sem þeir notuðu til að opna rafrænu læsingarnar.