影響的酒店範圍
接下來讓我們來看看此事的主角Vingcard電子鎖。
VingCard專注旅遊業安保及電子門鎖發展業務,其母公司ASSA ABLOY是現今世界最大的五金製造商,總部位於瑞典,集團品牌遍佈全世界120多個國家,旗下擁有三十二個子公司。
自1864年開始造鎖,VingCard迄今已有百餘年曆史。
1967年發明出的世界第一把卡片鎖更是改寫了歷史,變革了整個行業。
今天VingCard已有超過五百多萬把鎖在全世界160多個國家和地區使用。
在全世界的酒店電子門鎖市場中,VingCard擁有約65%的市場佔有率;
其中包括主要的五星級酒店,例如Intercontinental(洲際)、Hyatt(凱悅)、Radisson(麗笙)、Sheraton(喜來登)等。
所以,此次F-Secure公司曝出的漏洞影響非常廣泛。
不過這兩名研究人員也表示,他們的攻擊只適用於Vingcard的上一代Vision鎖,而不是該公司新的Vision line產品。
但他們估計,它仍然會影響全球160多個國家的140,000家酒店。
Vingcard的瑞典母公司Assa Abloy私下向兩名研究人員承認,這個問題影響了數百萬鎖。
(不過在Assa Abloy公司的公開表示中,易受攻擊的鎖的總數僅有50萬到100萬)。
Tuominen和Hirvonen在一年前已經隱秘地、負責任地告知了Assa Abloy公司他們發現的漏洞。
該公司在今年2月份發佈了一個軟件安全更新,官網上可以下載。
但由於Vingcard的鎖沒有互聯網連接,該軟件必須由技術人員手動安裝。
“很有可能並非所有的酒店都已經解決了這個問題,”Tuominen說。
在WIRED雜誌的電話採訪中,Assa Abloy公司的酒店業務部門負責人Christophe Sut淡化了酒店客人面臨的風險,並指出F-Secure的研究人員花了近12年的逆向工程和專業知識才開發出了他們的“黑客鑰匙”,這對其他不法分子來說是不容易的。
他也敦促所有使用Vingcard Vision鎖的酒店及時升級補丁。
“這應該成為一種新習慣。如果你有軟件,你需要隨時升級它。我們升級手機和電腦,現在還需要升級鎖。”
其他電子鎖漏洞
由於害怕幫助竊賊或間諜進入房間,Tuominen和Hirvonen並未完全公佈Vingcard鎖的漏洞細節。
相比之下,六年前,一位安全研究人員在網上發佈了廣泛使用的Onity密鑰卡鎖中一個明顯漏洞的全部代碼。
這導致了一場跨國盜竊狂潮,多達100個酒店房間遭受襲擊。
但是,又回到本文開始提到的2003年“酒店懸案”,是否在那時已經有不法分子掌握了Vingcard鎖的漏洞了呢?
F-Secure的研究人員承認,他們不知道此類Vinguard攻擊是否發生在現實世界中。
這個可能性非常高,因為像美國的LSI這種公司,就為執法機構提供“開鎖”的培訓,教學中使用的就是Vingcard的產品。
F-Secure的研究人員也指出,2010年在迪拜酒店遇刺身亡的巴勒斯坦哈馬斯高級官員被廣泛認為是由以色列情報機構摩薩德(Mossad)執行的。
在該案中,刺客似乎使用了Vingcard鎖中的漏洞進入目標房間,儘管當時該鎖需要重新編程。
但對於盛產變態黑客的以色列來說,“摩薩德有能力做這樣的事情並不奇怪。”
再回到國內的酒店,知乎上出現了不少類似的問題:
“住酒店時,半夜有人敲門並在門口發出動門鎖的聲音,該怎樣做?”
https://www.zhihu.com/question/54874491
酒店電子鎖中存在漏洞已經是被證明的事情 ,高檔酒店中的Vingcard鎖破解或許還需要花較長的時間,但如果是普通酒店的電子鎖呢?
因此建議住酒店時貴重物品最好隨身攜帶,晚上扣上安全扣,也不妨學學知乎上這個的機智答案:
入門級小偷對一般門栓是秒開,但如果你簡單加一個紙球,即使是技術性小偷,也會讓他懷疑人生。
閱讀更多 WTT資訊 的文章
