15年前酒店房間失竊 安全專家成功破解門鎖系統

15年前酒店房間失竊 安全專家成功破解門鎖系統

我們想讓你知道的是

一位資訊安全專家曾於酒店房間失竊,花了15年時間研究如何破解門鎖系統,發現在某個系統中只需要一張過期匙卡,便足以打開酒店所有大門。

2003年,芬蘭資訊安全研究員圖安文寧(Tomi Tuominen)到柏林參加一個安全會議,期間放在他酒店房間的一部手提電腦失竊。這部電腦屬於他的朋友,載有一些敏感資訊。酒店職員找不到任何闖入房間的痕跡,電子記錄亦顯示只有職員進入過房間,因此職員未有認真處理失竊一事。

那部手提電腦不知所蹤,其消失亦無任何解釋,但在資訊安全公司F-Secure任職的圖安文寧及其同事希房寧(Timo Hirvonen)認為,酒店使用的電子鎖可能有漏洞,讓人能夠偷進酒店房間而不在系統留下記錄。

過期匙卡也可用來開鎖

於是他們開始研究如何破解酒店的門鎖系統,並選擇了全球最大鎖具製造商、以質素及保安見稱的Assa Abloy作目標。兩人首先重建酒店的電子門鎖控制系統,再了解軟件及硬件的設計,從中查看有甚麼漏洞可以用作攻擊,最終成功破解Assa Abloy品牌VingCard Elsafe的酒店鎖軟件系統Vision。此外,兩人亦發現可以利用Vision的漏洞,在同一網絡中取得客戶的敏感資料。

今個星期,他們將會在邁阿密舉辦的一場安全會議上介紹破解技巧,不僅可以複製匙卡上的無線射頻辨識(RFID)碼,更可製作主匙(master key)打開酒店任何房門。

破解系統的硬件方面,只需要一個300美元的RFID卡讀寫器和一張目標酒店的匙卡,後者不必是正在使用的匙卡,即使已過期5年也沒有問題。VingCard的系統會為每張匙卡寫入獨特的密匙作解鎖用,另外每家酒店也有可以開任何門的主匙。

F-Secure更拍攝了影片示範,破解者只需要帶手掌大小的裝置,接觸一下匙卡便能取得資料,再計算出主匙︰

收窄搜索範圍

這些密鑰和主匙的設計本應有極多可能,難以被猜中,但圖安文寧和希房寧說,他們在2003年則開始檢查VingCard的編碼系統時已發現一個潛在漏洞。透過讀取匙卡上的密鑰,他們尋找數字中的規律,從而收窄可能答案的數目。即使如此,可能的主匙碼仍然太多,需要數千次嘗試,無法在實際環境中應用。

兩人多年來不斷研究系統,這段期間VingCard亦已由磁卡改為使用RFID技術,他們仍繼續分析收集得來的匙卡,並對取得的Vingard軟件作逆向工程。兩人在這10年期間從朋友處收集到超過1000張酒店匙卡,大約有30%屬於Vision系統。

最終他們從該公司一個訓練酒店員工的網頁上,找到大幅收窄搜索範圍,從而找出答案方法。不過基於保安理由,他們不打算進一步解釋細節,僅提到他們發現要打開的門在酒店的位置,跟其匙卡編碼有關。這個發現不但令他們可以製作主匙卡打開酒店內任何一道門,更能製作針對特定樓層或範圍的匙卡,僅打開部分門鎖,這就能讓小偷偽裝成酒店的服務員。

RTX5XX0O2
Photo Credit: Attila Cser / REUTERS / 達志影像

為何需要十多年時間才破解系統?F-Secure的網頁解釋,要了解門鎖系統的複雜設計並不容易,Assa Abloy的產品設計得非常好。今次的破解方式並非源自軟件的明顯漏洞,而是透過徹底了解整個系統設計才找到的微小缺陷結合而成。圖安文寧和希房寧又表示,假如有人全職研究破解系統,相信所需時間會短得多。

製造商推出安全更新

他們發現的破解方法只適用於VingCard上一代的Vision鎖,無法破解新一代的Visionline產品,然而他們估計,全球仍然橫跨160個國家的有14萬間酒店受影響,更指Assa Abloy承認數以百萬計的門鎖受影響。《Wired》向Assa Abloy查詢時得到的數字較少,在50萬至100萬之間,該公司指受影響的門鎖總數難以量度,因為無法追蹤酒店更換了哪些舊門鎖。

Assa Abloy強調他們的新產品使用不同技術,包括容許酒店住客以其智能手機開鎖的系統。該公司一名高層表示,保安行業的挑戰不斷改變,某個時刻安全的系統在20年後未必安全。

兩人在2017年3月已能在真實測試中製作酒店的主匙,並按慣例先通知Assa Abloy並合作研究如何修補漏洞。今年2月後者為軟件推出安全更新,但由於VingCard的門鎖未有連接網絡,只能靠技術人員人手安裝更新。圖安文寧說︰「很可能有些酒店尚未解決問題。」

還有其他人能破解門鎖?

圖安文寧和希房寧表示,他們並不知道現實中是否有人用上這種破解方式。然而美國公民自由聯盟(ACLU)在2012年的文章提到,有資訊安全研究人員把他打開酒店電子鎖的發現賣給一家叫做Lockmasters Security Institute的機構,後者會提供課程教人打開不同廠商製作的酒店門鎖,宣傳資料中亦有包括VingCard。

此外,2010年有哈馬斯高層在杜拜一家酒店的房中被暗殺,行兇者相信屬於以色列情報機構摩薩德(Mossad),透過修改門鎖程式進入其房暗殺——酒店所用的正是VingCard門鎖。因此,雖然兩位研究員未有公開破解詳情,也不會發布他們所用的程式,使用有關門鎖的酒店還是應該更新軟件。F-Secure亦建議,酒店住客如果要把貴重物品留在房間的話,必須放在夾萬內,留在房時使用防盜門鍊。

兩人未有因為其發現從Assa Abloy收到任何金錢回報,他們指純粹視研究為一項挑戰。圖安文寧說︰「有些人踢足球,有些人玩帆船,有些人拍照,這是我們的興趣。」

相關文章︰

資料來源︰