Home > Notícias

Hackers encontram forma de invadir quartos de hotel com chave mestra digital

Falha de software daria a um intruso acesso a todos os quartos de uma propriedade

Redação

26/04/2018 às 8h43

Fechadura eletrônica Key Card / Shutterstock
Foto:

Boa parte dos hotéis usa algum tipo de sistema de bloqueio eletrônico no lugar de chaves tradicionais para controlar o acesso dos hóspedes aos quartos. Chaves físicas são caras para substituir se perdidas. Sendo assim, recepcionistas oferecem keycards baratos e fáceis de administrar que são baseados em RFID, sistema de identificação por radiofrequência.

Pesquisadores da F-Secure analisaram um sistema popular de bloqueio de portas da maior fabricante mundial desses produtos: Assa Abloy.

A companhia de segurança teceu alguns elogios ao sistema, mas isso não os impediu de encontrar uma vulnerabilidade no software (Vision, desenvolvido por uma empresa terceirizada chamada VingCard) que daria a um intruso acesso a todos os quartos de uma propriedade.

“Você pode imaginar o que uma pessoa mal-intencionada poderia fazer com o poder de entrar em qualquer quarto de hotel com uma chave mestra”, disse Tomi Tuominen, pesquisador da F-Secure.

De acordo com o executivo, é necessário apenas obter um cartão-chave do hotel em que está hospedado — e não precisa nem ser o quarto em que você está interessado em invadir. Literalmente, qualquer chave será suficiente, seja uma chave de quarto ou uma chave para um armário de armazenamento ou garagem, explica a nota da F-Secure. E o pior, a chave nem precisa estar ativa. Uma chave expirada de uma estadia há cinco anos funcionará como parte desse golpe, completou a companhia.

Falha foi corrigida em hotéis afetados

Usando um hardware especializado que custa “algumas centenas de euros” on-line e alguns softwares personalizados, o invasor pode analisar a chave e, usando um processo de computação, determinar uma chave mestra que vai abrir todas as portas do mesmo hotel com o sistema.

Essa chave pode ser introduzida em um keycard em branco e passada para um cúmplice dentro do hotel. De acordo com a F-Secure, esse ataque funciona tanto em cartões com tarja magnética quanto em cartões-chave de hotel do modelo RFID, os mais sofisticados.

Seguindo as práticas recomendadas de divulgação responsável de vulnerabilidades de segurança, a F-Secure informou a Assa Abloy sobre a questão no ano passado e, silenciosamente, trabalhou com a empresa para resolver o problema. Uma correção foi criada a partir disso.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail