刷卡电子锁存隐患 手机开门智能酒店系统急需推
07-11
现今刷卡电子锁已经越来越普遍,尤其酒店业使用广泛,但两位芬兰防毒软体公司芬氏安全的研究人员,发现其实只需要随便一张房卡,就能透过复制卡片内的资料,制作一张可以通行所有房间的万用卡片,甚至不会留下任何可追踪痕迹,这个案例也替旅宿业敲响了警钟,行业内也需开始思考。而未来钥匙的无卡式智能门禁系统,则能避免这一类隐患的存在。
发现旅馆电子锁漏洞的是,芬氏安全的顾问Tomi Tuominen以及Timo Hirvonen,之所以促成他们研究这个大众再熟悉不过的锁具设备,要从2003年的一场意外说起。当时一位F-Secure的研究人员入住德国柏林一家高档旅馆,有一天回房后发现他的笔电遭窃,但旅馆人员调查后,并没有发现任何遭小偷侵入的痕迹,因此认为电脑遗失,应该是这位研究人员粗心忘记放在哪裡,这起意外事件让Tomi Tuominen、Timo Hirvonen好奇是否有可能在完全不留痕迹的情况下,侵入旅馆的电子锁系统。F-Secure发现,只要使用任何一张旅馆房卡,就可以打造一张在旅馆内通行无阻的卡。
大部分使用电子锁系统的旅馆,都会提供房客一次性房卡,这些房卡大部分是使用RFID技术(无线射频辨识),两位研究人员发现,全球的锁具製造商亚萨合莱(Assa Abloy),由第三方公司VingCard开发的底层系统Vision有漏洞,“ 我们发现只要使用任何一张旅馆房卡,就可打造一张在旅馆内通行无阻的卡,且这张房卡甚至过期也通用。 ”
许多人在退房时会忘记交回房卡,这个无心的动作可能会让有心人士有机可乘。两位研究人员表示,攻击者只要取得一张房卡(过期的旧房卡也可以),接著在网路上花几百欧元购买复制卡片资料的硬体、软体工具,就能在几分钟内制作多张房卡,透过这些房卡可以进入旅馆任何一间房间,过程完全不会遗留任何痕迹。更可怕的是,研究人员发现即便房卡放在口袋中,攻击者一样能在远端取得卡片资料,这种攻击方式适用传统磁条以及RFID。如果其他电子锁系统有同样的问题我也不会惊讶,必须直到有人尝试破坏,才会知道系统究竟有多不安全。
全球有许多旅馆业者,都採用亚萨合莱(Assa Abloy)的电子锁系统,预计全球有4万家旅馆曝露在风险之下。目前多数旅馆房卡,都是使用传统磁条或RFID,但这类卡片除了容易遗失,已有被消磁的风险。近年像是喜达屋SPG集团旗下酒店,就导入低功耗蓝牙(BLE)技术,推出「无卡入住(SPG Keyless)」功能,让房客透过饭店App直接用手机就能解锁,这套系统能让房客直接在App上完成入住手续,还能在App中隐藏房号确保安全,旅馆也能在后台管理房客资料、更新开锁设定,就能避免房卡资料遭窃,以及消磁风险。
