4万家酒店曝房卡系统漏洞,任意房卡可复制出万能卡

发布者:740322lwj最新更新时间:2018-06-07 关键字:酒店  房卡  漏洞 手机看文章 扫描二维码
随时随地手机看文章

两位芬兰防病毒软件公司芬氏安全(F-Secure)的研究人员,发现黑客其实只需要随便一张房卡,就能透过复制卡片内的数据,制作一张可以通行所有房间的万用卡片……

许多新型、中高阶的旅馆为了管理方便,客房大多使用刷卡感应的电子锁,两位芬兰防病毒软件公司芬氏安全(F-Secure)的研究人员,发现黑客其实只需要随便一张房卡,就能透过复制卡片内的数据,制作一张可以通行所有房间的万用卡片,过程中甚至不会留下任何可追踪痕迹,这个案例也替旅宿业敲响了警钟。

电子锁系统不安全,连过期房卡也能备份

发现旅馆电子锁漏洞的是,芬氏安全的顾问 Tomi Tuominen 以及 Timo Hirvonen,之所以促成他们研究这个大众再熟悉不过的锁具设备,要从 2003 年的一场意外说起。

当时一位 F-Secure 的研究人员入住德国柏林一家高档旅馆,有一天回房后发现他的笔记本电脑遭窃,但旅馆人员调查后,并没有发现任何遭小偷侵入的痕迹,因此认为计算机遗失,应该是这位研究人员粗心忘记放在哪里,这起意外事件让 Tomi Tuominen、Timo Hirvonen 好奇是否有可能在完全不留痕迹的情况下,侵入旅馆的电子锁系统。

大部分使用电子锁系统的旅馆,都会提供房客一次性房卡,这些房卡大部分是使用 RFID 技术(无线射频识别),两位研究人员发现,全球最大的锁具制造商亚萨合莱(Assa Abloy),由第三方公司 VingCard 开发的底层系统 Vision 有漏洞,“我们发现只要使用任何一张旅馆房卡,就可打造一张在旅馆内通行无阻的万能卡,且这张房卡甚至过期也通用。”

许多人在退房时会忘记交回房卡,这个无心的动作可能会让有心人士有机可乘。两位研究人员表示,攻击者只要取得一张房卡(过期的旧房卡也可以),接着在网络上花几百欧元购买复制卡片数据的硬件、软件工具,就能在几分钟内制作多张房卡,透过这些房卡可以进入旅馆任何一间房间,过程完全不会遗留任何痕迹。更可怕的是,研究人员发现即便房卡放在口袋中,攻击者一样能在远程取得卡片数据,这种攻击方式适用传统磁条以及 RFID。

F-Secure研究员Timo Hirvonen在芬兰赫尔辛基展示了一个Assa Abloy的酒店房卡(Source:路透社,2018年4月20日)

一种能够利用一张酒店房卡上,创建出万能房卡的设备(Source:路透社,2018年4月20日)

F-Secure研究人员Tomi Tuominen(L)和Timo Hirvonen在2018年4月20日于芬兰赫尔辛基展示他们的发现(Source:路透社,2018年4月20日)

如果其他电子锁系统有同样的问题我也不会惊讶,必须直到有人尝试破坏,才会知道系统究竟有多不安全。──芬氏安全(F-Secure)研究人员

全球有许多旅馆业者,都采用亚萨合莱(Assa Abloy)的电子锁系统,预计全球有 4 万家旅馆曝露在风险之下。

漏洞已被修复,“无卡入住”成为新型态

发现漏洞后,芬氏安全(F-Secure)去年通知亚萨合莱(Assa Abloy),一起修复了这项漏洞,并鼓励旅馆业者安装修复软件,芬氏安全表示,因部分旅馆还需要时间安装补丁,因此不会透露受影响的旅馆,确保遭攻击风险降到最低。

目前多数旅馆房卡,都是使用传统磁条或 RFID,但这类卡片除了容易遗失,也有消磁的风险。近年像是喜达屋 SPG 集团旗下酒店,就导入低功耗蓝牙(BLE)技术,推出“无卡入住”(SPG Keyless)功能,让房客透过饭店 App 直接用手机就能解锁,这套系统能让房客直接在 App 完成入住手续,还能在 App 隐藏房号确保安全,旅馆也能在后台管理房客数据、更新开锁设定,就能避免房卡数据遭窃,以及消磁风险。

喜达屋 SPG 集团旗下酒店,推出“无卡入住”(SPG Keyless)功能。

但无论如何,这个案例也替旅宿业敲响了警钟,F-Secure 研究人员提醒,房客尽量不要将太贵重的东西留在房中,入住时使用门链锁也能增降低被侵入风险。


关键字:酒店  房卡  漏洞 引用地址:4万家酒店曝房卡系统漏洞,任意房卡可复制出万能卡

上一篇:全国首张带电子窗口的“天眼”信用卡面世
下一篇:威盛人脸识别智能门禁系统,提高建筑安全度

推荐阅读最新更新时间:2024-03-16 11:29

10亿台智能手机的芯片漏洞!世界首例WIFI蠕虫
如果你最近还没更新你的iPhone或安卓设备,最好现在马上就更新。除非安装了最新的补丁,否则极少被检查的WiFi芯片中所含的一个漏洞,可使黑客隐身潜入10亿台设备中的任何一台。没错,不是百万台,不是千万台,是10亿台。下面就随嵌入式小编一起来了解一下相关内容吧。 侵害范围这么广的漏洞极少出现,真是谢天谢地。苹果和谷歌投入巨资保护他们的移动操作系统,给黑客设下层层障碍,还为其软件漏洞开出举报奖励。但现代计算机或智能手机就是某种形式上的硅基科学怪人,浑身插满来自第三方公司的组件,其中代码谷歌和苹果都控制不了。而当安全研究员尼泰·阿滕斯坦深入探索驱动每台iPhone和大部分现代安卓设备的博通芯片模块时,他就发现了一个可完全破坏掉那
[嵌入式]
CSDN用户数据泄露案告破 嫌犯利用网站漏洞入侵
近日,历时40多天的缜密侦查,北京警方破获CSDN网站用户数据泄露案,并成功带破另外4起案件,共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。在积极开展案件侦破工作的同时,北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄漏事件做出行政警告处罚,这是我国落实信息安全等级保护制度以来的首例“罚单”。   2011年12月22日,北京警方接到CSDN公司报案,称其公司服务器被入侵,核心数据遭到泄露。   通过对网上泄露的大量CSDN数据在时间等方面进行仔细比对,专案组发现这些数据大部分集中在2009年7月至2010年7月。由此推测,其服务器被入侵时间为2010年7月前。由于涉及入侵的服务器已于一年前
[单片机]
普渡机器人入驻防疫酒店
马斯克明年将生产擎天柱人形机器人 马斯克周四表示,最早将于明年(即2023年)开始生产一款名为擎天柱(Opmus)的人形机器人。马斯克当日在得克萨斯州奥斯汀市的特斯拉新汽车装配厂开幕仪式上表示,“我们有望在明年生产第一个版本的擎天柱机器人。”不过,特斯拉尚未透露该款机器人的工作原型,因此目前外界并不清楚这款名为擎天柱的人形机器人初代版本将有多复杂。 马斯克还乐观地表示,“擎天柱”将“改变世界”,知名程度甚至可能超过特斯拉,但“这可能很难想象。” 普渡机器人入住防疫酒店 面对全球疫情的研究形势,普渡科技积极响应政府号召,发挥自身的技术优势,不遗余力地参与到疫情防控工作中。近期,普渡科技和深圳市龙华区达成了深度
[机器人]
ZigBee曝出严重漏洞 或引发新安全危机
    伴随科技的快速演进,物联网(The Internet of Things,IoT)概念再次兴起,人们身边的日常用品、终端设备、家用电器等也逐步被赋予了网络连接的能力。然而作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术却于近期召开的2015黑帽大会(BlackHat2015)上被曝出存在严重的安全漏洞,引发了业内的广泛关注。   ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术。由于其名称(ZigBee,Zig“嗡嗡”,Bee“蜜蜂”)来源于蜜蜂的八字舞,所以该协议又被称为紫蜂协议。在理论层面上来说,它是基于IEEE802.15.4标准的低功耗局域网协议,主要适合用于自动控制和远程控制领域,可以嵌
[安防电子]
偷啥的都有!小伙偷3416.52GB流量,价值17万 被判刑3年
偷什么的都有,但是你听说过偷流量的吗?而且偷的数量还相当惊人。下面就随手机便携小编一起来了解一下相关内容吧。 据《法制晚报》报道,江苏徐州的林某刚毕业时黑进某通讯公司,发现了一个员工套餐的漏洞,普通账号登陆上去后就能获得更高权限,每月可以免费用300GB流量。 林某随后便通过漏洞一直盗用这份免费流量套餐,累计共偷用流量3416.52GB,经认定价值总价值174925元——每GB 51元? 近日,法院以盗窃罪判处林某有期徒刑3年2个月,并处罚金人民币3万元。 林某表示,非常后悔做这种事。         以上是关于手机便携中-偷啥的都有!小伙偷3416.52GB流量,价值17万 被判刑3年的相关介绍,如果想要了解
[手机便携]
晶心处理器证实无Meltdown和Spectre安全漏洞
近期关于横跨多个指令集架构的两个处理器安全漏洞的大量新闻报导,引发全球高度关注处理器系统的安全议题。晶心科技拥有多年嵌入式处理器开发经验,并致力于确保晶心处理器嵌入式系统的安全。经全面查核,晶心科技特别发表声明,确认晶心处理器安全无虞,并未受Meltdown和Spectre影响。 「安全性对进行SoC设计的晶心客户来说十分重要,我们一直密切关注这两个利用推测执行窃取机敏数据的Meltdown及Spectre攻击。」晶心科技技术长兼资深研发副总经理苏泓萌博士表示,「经过详细分析,我们确认AndesCore处理器的管线设计不会受到攻击。当遇到违反权限的事件时,我们的处理器不会执行后续的存取;而我们的分支推测深度不至于让随后的指令可以产
[半导体设计/制造]
中科曙光称针对英特尔芯片漏洞问题第一时间成立应急小组
据证券时报·e公司报道,中科曙光(603019)称,针对英特尔芯片漏洞问题,曙光云目前尚未收到任何关于利用该漏洞攻击用户的信息,曙光云已第一时间成立应急小组,持续监控平台性能并积极响应客户反馈。
[半导体设计/制造]
一种基于渗透性测试的Web漏洞扫描系统设计与实现
0 引 言 CNCERT/CC 2006年的工作报告中显示,随着互联网的快速发展,我国公共互联网用户数量已超过1.37亿。在网络发展的同时,互联网作为一个运行系统和一个社会公共环境,所面对的和隐藏的安全威胁也越来越复杂,越来越严重。报告显示,2006年CNCERT/CC接收国内26 476件非扫描类网络安全事件报告中有24 477件是由于Web引起的。从2003年~2006年中国Web攻击事件统计中不难发现,通过Web漏洞进行攻击事件正在逐年迅速的增长。通过Web漏洞进行攻击成了网络漏洞攻击的主要方式与手段。 国内外的许多学术机构、企业和标准化组织在Web漏洞探测方面做了大量的工作。Web漏洞探测系统日趋成熟,当前,比较成熟的漏洞
[测试测量]
一种基于渗透性测试的Web<font color='red'>漏洞</font>扫描系统设计与实现
小广播
添点儿料...
无论热点新闻、行业分析、技术干货……
热门活动
换一批
更多
最新安防电子文章
更多每日新闻

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区中关村大街18号B座15层1530室 电话:(010)82350740 邮编:100190

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved