Nếu bạn thường xuyên để lại những thứ quý giá và đắt tiền như laptop và hộ chiếu trong phòng khách sạn, hãy cẩn thận. Phòng của bạn có thể được mở khóa bởi không chỉ một nhân viên có quyền truy cập vào khóa chính, mà còn bởi một người ngoài.

Một lỗ hổng nghiêm trọng về thiết kế trong hệ thống khóa điện tử phổ biến đã được khai thác để mở khóa mọi phòng trong một cơ sở và khiến hàng triệu phòng khách sạn trên toàn thế giới rơi vào nguy cơ mất an toàn bởi tin tặc.

Lỗ hổng này đã được phát hiện trong hệ thống khóa Vision của VingCard – được sản xuất bởi nhà sản xuất khóa lớn nhất thế giới – Assa Abloy và được triển khai tại hơn 42.000 cơ sở ở 166 quốc gia khác nhau, tương đương với hàng triệu cửa ra vào.

Sau hàng ngàn giờ làm việc, các nhà nghiên cứu của F-Secure, Tomi Tuominen và Timo Hirvonen đã xây dựng một ‘Master Key’ có thể được sử dụng để mở khóa cửa của bất kỳ phòng khách sạn nào bằng cách sử dụng công nghệ khóa kỹ thuật số Vision của VingCard, mà không để lại dấu vết trên hệ thống.

Cách tin tặc xây dựng một ‘Master Key’

Master Key
Master Key

Để tạo ‘Master Key’ truy cập vào phòng được bảo mật bởi hệ thống Vision, yêu cầu đầu tiên là giữ thẻ khóa điện tử — bất kỳ thẻ khóa điện tử hiện tại, cũ hoặc hết hạn nào cho bất kỳ phòng nào trong cơ sở mục tiêu sẽ giúp hoàn thành công việc.

Để lấy khóa điện tử (RFID hoặc magstripe), kẻ tấn công có thể đọc dữ liệu từ xa bằng cách đứng gần khách sạn hoặc nhân viên có thẻ khóa trong túi hoặc đơn giản là có thể đặt phòng và sau đó sử dụng thẻ đó làm nguồn.

Những gì kẻ tấn công phải làm là mua một portable programmer với giá một vài trăm đô la để trực tuyến ghi đè lên nó và có thể tạo ra một ‘Master Key’ trong vòng vài phút.

Tuy nhiên, F-Secure cho biết họ đã sử dụng phần mềm tùy chỉnh của mình để thực hiện việc hack đặc biệt này và vì vài lý do, các nhà nghiên cứu sẽ không phát hành nó.

Các thiết bị tùy chỉnh theo yêu cầu (một đầu đọc /ghi RFID) sau đó được để gần với khóa mục tiêu, sẽ thử các key khác nhau trong chưa đầy một phút và định vị ‘Master Key’ để mở khóa cửa.

Bây giờ, bạn có thể sử dụng thiết bị được tùy chỉnh này làm ‘Master Key’ để mở bất kỳ cửa nào trong cơ sở hoặc viết lại khóa chính cho thẻ khóa của bạn. Sau khi thực hiện xong, bây giờ bạn có thể truy cập vào bất kỳ phòng nào trong khách sạn bằng ‘Master Key’.

Tuominen cho biết: “Bạn có thể tưởng tượng những gì một kẻ xấu có thể làm với một ‘Master Key’ cho phép ra vào bất kỳ phòng nào trong khách sạn. Chúng tôi chưa tìm được ai đang thực hiện cuộc tấn công kiểu này trong thực tế ngay bây giờ.”

Các nhà nghiên cứu cũng đã cung cấp một video miêu tả, trong đó cho thấy việc hack diễn ra như thế nào.

Các nhà nghiên cứu đã báo cáo những phát hiện của họ cho Assa Abloy vào tháng 4 năm 2017, và trong năm qua, cả hai đã cùng nhau phát triển một giải pháp, trong đó bao gồm cả việc ngẫu nhiên hóa hiệu quả của toàn bộ không gian khóa.

Assa Abloy đã phát hành bản sửa lỗi phần mềm cho các hệ thống của mình vào tháng 2 năm 2018 và các bản cập nhật đã được cung cấp cho các cơ sở bị ảnh hưởng.

Tuominen nói: “Tôi muốn đích thân cảm ơn đội ngũ R & D của Assa Abloy về sự hợp tác tuyệt vời của họ trong việc khắc phục những vấn đề này. Vì sự tích cực và sẵn lòng giải quyết các vấn đề được xác định trong nghiên cứu của chúng tôi, khách sạn giờ đây là một nơi an toàn hơn. Chúng tôi khuyến khích bất kỳ cơ sở nào sử dụng phần mềm này nên áp dụng bản cập nhật càng sớm càng tốt.”

F-Secure vẫn chưa phát hành đầy đủ chi tiết kỹ thuật của bản hack. Ngoài ra, không có bằng chứng cho thấy việc hack đã từng được tiến hành trong thực tế, nhưng thực hiện các cuộc tấn công không gian mạng với các khách sạn là không hề mới.

Khoảng một năm trước, chúng ta đã chứng kiến các tin tặc buộc một khách sạn sang trọng ở Áo phải trả tiền chuộc bằng Bitcoin như thế nào sau khi phần mềm ransomware tấn công hệ thống CNTT của khách sạn và khóa hàng trăm khách khỏi phòng của họ.