4万家酒店曝房卡系统漏洞,任意房卡可复制出万能卡

2018-06-07编辑:鲁迪 关键字:酒店  房卡  漏洞

两位芬兰防病毒软件公司芬氏安全(F-Secure)的研究人员,发现黑客其实只需要随便一张房卡,就能透过复制卡片内的数据,制作一张可以通行所有房间的万用卡片……

许多新型、中高阶的旅馆为了管理方便,客房大多使用刷卡感应的电子锁,两位芬兰防病毒软件公司芬氏安全(F-Secure)的研究人员,发现黑客其实只需要随便一张房卡,就能透过复制卡片内的数据,制作一张可以通行所有房间的万用卡片,过程中甚至不会留下任何可追踪痕迹,这个案例也替旅宿业敲响了警钟。

电子锁系统不安全,连过期房卡也能备份

发现旅馆电子锁漏洞的是,芬氏安全的顾问 Tomi Tuominen 以及 Timo Hirvonen,之所以促成他们研究这个大众再熟悉不过的锁具设备,要从 2003 年的一场意外说起。

当时一位 F-Secure 的研究人员入住德国柏林一家高档旅馆,有一天回房后发现他的笔记本电脑遭窃,但旅馆人员调查后,并没有发现任何遭小偷侵入的痕迹,因此认为计算机遗失,应该是这位研究人员粗心忘记放在哪里,这起意外事件让 Tomi Tuominen、Timo Hirvonen 好奇是否有可能在完全不留痕迹的情况下,侵入旅馆的电子锁系统。

大部分使用电子锁系统的旅馆,都会提供房客一次性房卡,这些房卡大部分是使用 RFID 技术(无线射频识别),两位研究人员发现,全球最大的锁具制造商亚萨合莱(Assa Abloy),由第三方公司 VingCard 开发的底层系统 Vision 有漏洞,“我们发现只要使用任何一张旅馆房卡,就可打造一张在旅馆内通行无阻的万能卡,且这张房卡甚至过期也通用。”

许多人在退房时会忘记交回房卡,这个无心的动作可能会让有心人士有机可乘。两位研究人员表示,攻击者只要取得一张房卡(过期的旧房卡也可以),接着在网络上花几百欧元购买复制卡片数据的硬件、软件工具,就能在几分钟内制作多张房卡,透过这些房卡可以进入旅馆任何一间房间,过程完全不会遗留任何痕迹。更可怕的是,研究人员发现即便房卡放在口袋中,攻击者一样能在远程取得卡片数据,这种攻击方式适用传统磁条以及 RFID。

F-Secure研究员Timo Hirvonen在芬兰赫尔辛基展示了一个Assa Abloy的酒店房卡(Source:路透社,2018年4月20日)

一种能够利用一张酒店房卡上,创建出万能房卡的设备(Source:路透社,2018年4月20日)

F-Secure研究人员Tomi Tuominen(L)和Timo Hirvonen在2018年4月20日于芬兰赫尔辛基展示他们的发现(Source:路透社,2018年4月20日)

如果其他电子锁系统有同样的问题我也不会惊讶,必须直到有人尝试破坏,才会知道系统究竟有多不安全。──芬氏安全(F-Secure)研究人员

全球有许多旅馆业者,都采用亚萨合莱(Assa Abloy)的电子锁系统,预计全球有 4 万家旅馆曝露在风险之下。

漏洞已被修复,“无卡入住”成为新型态

发现漏洞后,芬氏安全(F-Secure)去年通知亚萨合莱(Assa Abloy),一起修复了这项漏洞,并鼓励旅馆业者安装修复软件,芬氏安全表示,因部分旅馆还需要时间安装补丁,因此不会透露受影响的旅馆,确保遭攻击风险降到最低。

目前多数旅馆房卡,都是使用传统磁条或 RFID,但这类卡片除了容易遗失,也有消磁的风险。近年像是喜达屋 SPG 集团旗下酒店,就导入低功耗蓝牙(BLE)技术,推出“无卡入住”(SPG Keyless)功能,让房客透过饭店 App 直接用手机就能解锁,这套系统能让房客直接在 App 完成入住手续,还能在 App 隐藏房号确保安全,旅馆也能在后台管理房客数据、更新开锁设定,就能避免房卡数据遭窃,以及消磁风险。

喜达屋 SPG 集团旗下酒店,推出“无卡入住”(SPG Keyless)功能。

但无论如何,这个案例也替旅宿业敲响了警钟,F-Secure 研究人员提醒,房客尽量不要将太贵重的东西留在房中,入住时使用门链锁也能增降低被侵入风险。


关键字:酒店  房卡  漏洞

来源: 互联网 引用地址:http://www.eeworld.com.cn/afdz/article_2018060711861.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:全国首张带电子窗口的“天眼”信用卡面世
下一篇:最后一页

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

发力智慧餐厅 擎朗机器人上岗顺风大酒店

随着智慧餐饮概念的不断提及,很多餐饮企业都在积极利用智能化改革,以解决其“三高一低”的痛点。上海金时代顺风大酒店(以下简称“顺风酒店”)为打造服务特色、提升智能化、降低运营成本、优化人力,近日大胆创新,聘用了两名武艺高强的传菜机器人为客人提供智慧化服务。据顺丰酒店大堂经理介绍,这两名特殊的机器人传菜员,名叫花生,来自上海擎朗智能科技有限公司,上岗第一天就引来台湾媒体关注。记者在现场看到,花生传菜机器人外形简洁实用,1.2米身高,使用者无论站着放物品,还是坐着取物品,都很舒服便捷;三层托盘设计,每层可负重10公斤重物,还可一次多点送餐,就餐高峰期,能可节省2-3位劳动力;还设计有灵动双眸,可随心情切换喜、怒、哀、乐等不同拟人表情;最
发表于 2018-06-27

亚马逊Alexa语音助手战胜苹果Siri 入驻万豪酒店

亚马逊Echo智能音箱  新浪科技讯 北京时间6月19日晚间消息,亚马逊今日宣布,已与万豪国际酒店集团(Marriott International)达成合作协议,将通过亚马逊Echo智能音箱,利用Alexa语音助手来控制酒店内的智能设备。  通过该服务,用户可以通过亚马逊Echo订购房间、呼叫保洁人员、呼叫礼宾部,以及订餐等,而无需使用手机或房间内的座机。  有媒体之前曾报道称,万豪国际酒店同时在测试苹果Siri和亚马逊Alexa,以评估哪一款语音助手更适合于酒店服务行业。  亚马逊表示,此次合作将于今年正式启动。亚马逊同时指出,该合作并非排他性合作,其他连锁酒店也可以与亚马逊展开合作。
发表于 2018-06-20
亚马逊Alexa语音助手战胜苹果Siri 入驻万豪酒店

传iOS 12将全面开放NFC功能:让iPhone当酒店房卡

网易科技讯 5月26日消息,科技博客9to5mac.com援引The Information网站的报道称,苹果将在iOS 12系统上迈出一大步,让一些第三方开发者可以全面访问iPhone内部的NFC(近场通信)芯片,这种芯片首次出现在iPhone 6上。The Information的报道称,苹果希望iPhone能在支付服务Apple Pay以外的更多非接触式互动中使用,比如充当酒店门卡或虚拟交通卡等。通过添加CoreNFC框架,苹果首次在iOS 11系统部分开放NFC芯片。这个框架允许第三方应用使用NFC芯片作为RFID(射频识别)标签的扫描器,让iPhone能够读取更多类型的NFC标签,而不仅仅只用于支付。然而,这种开放仍然是
发表于 2018-05-27

今日看点:机器人服务受青睐 美华资酒店开先河

据美国《世界日报》报道,“飞利浦,这个行李帮忙拿到房间去”。“道莎,谢谢你送来晚餐”。这些被民众亲热称呼的名字,其实都不是真人,却比真人还受青睐。圣盖博市新开张不久的华资酒店,率先使用八个机器人,开全美酒店机器人服务先河,惊艳华洋民众。今日的机器人行业还有哪些直观关注的重要内容呢?下面一起来了解详情。机器人服务受青睐 美华资酒店开先河据美国《世界日报》报道,“飞利浦,这个行李帮忙拿到房间去”。“道莎,谢谢你送来晚餐”。这些被民众亲热称呼的名字,其实都不是真人,却比真人还受青睐。圣盖博市新开张不久的华资酒店,率先使用八个机器人,开全美酒店机器人服务先河,惊艳华洋民众。负责运送行李的帅哥机器人,一次最多可运1000磅行李。(美国
发表于 2018-03-19
今日看点:机器人服务受青睐 美华资酒店开先河

全球首家QQfamily智能酒店推出,年轻人都喜欢

10月27日在珠海长隆企鹅酒店,腾讯QQ与长隆集团达成战略合作。双方将共同推出QQfamily智能主题房,同时基于长隆企鹅酒店双方还将在QQ-AR、QQ钱包、QQ会员等产品技术上全面合作,共同打造全球首家QQ智能主题酒店。此次双方联合推出的QQfamily智能主题房,在整个主题房间装饰和房间用品上引入QQfamily IP形象,在给住客家一般的温馨感觉外,更增添了可爱和有趣的居住体验。同时,基于QQ物联的技术,住客可以通过小Q机器人声控主题房间的灯光、窗帘等设备。还可以通过询问小Q机器人了解天气、收听QQ音乐的歌曲,甚至可以跟朋友视频通话。小Q机器人位于珠海横琴长隆国际海洋度假区的长隆企鹅酒店,总建筑面积18万平方米,拥有不同形
发表于 2017-10-30
全球首家QQfamily智能酒店推出,年轻人都喜欢

安全专家曝蓝牙新漏洞:可窃取个人信息

Wi-Fi、蓝牙、Zigbee、Qi……科技生活的日常中有着大量无线通信实例,这也对安全性提出了新的挑战。  以色列Technion的网络安全研究人员Eli Biham教授和研究生LiorNeumann演示了针对蓝牙的曲线攻击,可以干扰到两个蓝牙设备匹配的过程,强制其使用重复密钥。  这种注入方式用在手机上,可以窃取到通讯录、短信、照片等敏感信息,如果用在蓝牙输入设备如键盘上,则可以读取输入内容。  比较无语的是,越是跟进蓝牙协议快的厂商,如Intel、高通、博通等“受伤”会越深,微软由于采用的老协议,反而相对安全了。  不过,Eli Biham强调,iPhone和安卓已经释放修复补丁。
发表于 2018-07-30
安全专家曝蓝牙新漏洞:可窃取个人信息

小广播

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved