■李亞東

網(wǎng)絡安全公司F-Secure兩名研究人員發(fā)現(xiàn)，知名鎖和安防解決方案供應商Assa Abloy旗下VingCard提供的電子門鎖軟件Vision中存在設計漏洞，全球數(shù)百萬個酒店房間的電子門鎖面臨黑客入侵風險。

這兩名研究人員利用該漏洞設計了一種設備，能讀有效或過期的酒店房卡，并生成一個主密鑰來打開一家酒店的所有房間，或讓攻擊者進入安全的酒店區(qū)域。

研究人員指出，全球有166個國家超過4萬個酒店、汽車旅館等在使用這個存在漏洞的軟件Vision。

2003年，某F-Secure的研究人員入住德國柏林一家知名酒店后，筆記本電腦被盜，但旅館人員調(diào)查后并未發(fā)現(xiàn)任何小偷侵入的痕跡。這起事件引起了托米寧和希爾沃寧的好奇，于是他們開始著手研究在完全不留痕跡的情況下，侵入酒店的電子門鎖系統(tǒng)。

盡管劫持和克隆酒店房卡并不是什么新鮮事，但這兩名研究人員設計的攻擊方式有其特別之處：它允許攻擊者在幾分鐘之內(nèi)為整個酒店生成一個主密鑰，所需的資源就是一張普通的酒店房卡，甚至過期的房卡。

研究人員設計的這款設備可以讀取電子房卡的RFID信號，然后利用Vision軟件中存在的漏洞生成其它電子房卡的密鑰，軟件例程會在研究人員設計的這款設備上運行，直到生成可打開酒店的所有房間門的主密鑰，這個過程通常只需要幾秒鐘到幾分鐘的時間。使用這種方式打開門鎖后，不會在酒店房卡軟件日志中留下證據(jù)。

發(fā)現(xiàn)漏洞后，F(xiàn)-Secure 2017年就已通知Assa Abloy，目前Vision的漏洞補丁已發(fā)布，因部分酒店還需要時間安裝補丁，因此不會透露受影響的酒店，以確保將攻擊風險降到最低。