一名F-Secure研究人員在柏林參加信息安全會議時，其筆記本電腦被從酒店房間偷走，由于沒有強行進入的跡象，酒店工作人員認為該研究人員自己存在失或說謊。這一事件激起了研究人員的兩位同事Timo Hirvonen和Tomi Tuominen的興趣，將注意力轉向酒店使用的數字鎖定系統。

　　大多數酒店（特別是高端或連鎖酒店）使用某種形式的電子鎖系統。接待員可以為客人提供便宜的一次性鑰匙卡，而不是分發實物鑰匙。這些鑰匙卡基于RFID技術。F-Secure的研究人員將注意力轉向由世界上最大制造商Assa Abloy構建的流行酒店鎖定系統?！　?/p>

　　F-Secure對Assa Abloy非常贊賞。在博客文章中，它將其描述為“高品質的品牌”，并表示其鎖具以質量和安全著稱。但是這并沒有阻止他們發現底層軟件（稱為Vision，由第三方公司VingCard開發）的漏洞，這會讓入侵者訪問特定系統中的每個房間。

　　F-Secure在一份聲明中表示：“從字面上看，任何鑰匙都可以滿足要求，無論是房間鑰匙還是儲物柜或車庫的鑰匙。更糟糕的是，密鑰甚至不需要現在處于活動狀態。該公司表示，“即使是五年前停產的過期鑰匙也能起作用?！笔褂靡恍ｉT的硬件，在網上花費“幾百歐元”和一些定制軟件，攻擊者可以分析該密鑰并使用計算過程確定主密鑰。

　　然后攻擊者可以使用該設備訪問屬性中的任何房間而不受阻礙?；蛘?，他們可以將其印在空白的鑰匙卡上，并將其傳遞給同謀。據F-Secure稱，這種攻擊既適用于磁條，也適用于更復雜的RFID酒店鑰匙卡。

　　在發現這個漏洞之后，F-Secure去年通知了Assa Abloy，并悄悄與瑞典公司合作解決了這個問題。修復已創建并發布給受影響的酒店。F-Secure不會發布任何代碼或漏洞的完整詳細信息。這是明智的，因為一些酒店客房鎖定系統可能沒有實施補丁，因此仍然存在風險。

責任編輯：韓希宇