來自F-Secure的兩名安全研究人員開發了一種設備，可以讀取任何有效甚至過期的酒店鑰匙卡，并生成一個可打開任何房間門或授予攻擊者進入安全酒店區域的主鑰匙。

　　該設備利用世界上最大制造商Assa Abloy構建的流行酒店鎖定系統中的漏洞，該系統也是全球應用范圍最廣的鑰匙卡系統之一，VingCard聲稱它已經安裝在40,000多家酒店、汽車旅館和其他酒店業。

　　設備利用流行的鑰匙卡系統中的軟件漏洞

　　由兩位研究人員Tomi Tuominen和Timo Hirvonen創建的設備，通過讀取鑰匙卡的RFID信號，然后利用Vision系統中發現的軟件漏洞生成其他鑰匙卡代碼。

　　軟件程序在設備上運行，直到設備生成可打開在酒店部署的所有門的主密鑰，這通常只需要幾秒到幾分鐘。

　　Tuominen和Hirvonen表示，他們不一定需要掃描有效的鑰匙卡，盡管者并不難，不過通常顧客只會在酒店住宿一晚。即使過期的鑰匙卡已經足夠提取有效的信息，兩位研究員表示。

　　自2003年以來，研究人員一直在研究這個問題，當時一名小偷從柏林的一家酒店房間偷走了一名研究人員的筆記本電腦。

　　門沒有出現任何強制進入的跡象，酒店的鑰匙卡軟件日志沒有任何其他證據。這激起了研究人員對這個問題的興趣，于是他們將注意力轉向酒店使用的數字鎖定系統。

　　研究人員聯合Assa Abloy修復漏洞

　　對此，旅客無需擔心，因為他們并不打算發布任何細節或設備細節，原因很明顯，因為很可能會被盜用從事非法活動。

　　在發現這個漏洞之后，Tuominen和Hirvonen自2017年4月起與Assa Abloy一起解決了這個問題，并發布了補丁。

　　“由于Assa Abloy的積極態度，和我們一起解決了研究中發現的問題，酒店業現在是一個更安全的地方，”Tuominen說?！拔覀兌卮偃魏问褂么塑浖钠髽I盡快應用更新?！?/p>

　　盡管問題已經修復，但研究人員仍然不會公布該漏洞利用的具體細節，畢竟還有很多酒店設施并沒有即使打上補丁，還存在一定的風險。

責任編輯：韓希宇