Hackers encontram forma de invadir quartos de hotel com chave mestra digital

Boa parte dos hotéis usa algum tipo de sistema de bloqueio eletrônico no lugar de chaves tradicionais para controlar o acesso dos hóspedes aos quartos. Chaves físicas são caras para substituir se perdidas. Sendo assim, recepcionistas oferecem keycards baratos e fáceis de administrar que são baseados em RFID, sistema de identificação por radiofrequência.

Pesquisadores da F-Secure analisaram um sistema popular de bloqueio de portas da maior fabricante mundial desses produtos: Assa Abloy.

A companhia de segurança teceu alguns elogios ao sistema, mas isso não os impediu de encontrar uma vulnerabilidade no software (Vision, desenvolvido por uma empresa terceirizada chamada VingCard) que daria a um intruso acesso a todos os quartos de uma propriedade.

“Você pode imaginar o que uma pessoa mal-intencionada poderia fazer com o poder de entrar em qualquer quarto de hotel com uma chave mestra”, disse Tomi Tuominen, pesquisador da F-Secure.

De acordo com o executivo, é necessário apenas obter um cartão-chave do hotel em que está hospedado — e não precisa nem ser o quarto em que você está interessado em invadir. Literalmente, qualquer chave será suficiente, seja uma chave de quarto ou uma chave para um armário de armazenamento ou garagem, explica a nota da F-Secure. E o pior, a chave nem precisa estar ativa. Uma chave expirada de uma estadia há cinco anos funcionará como parte desse golpe, completou a companhia.

Falha foi corrigida em hotéis afetados

Usando um hardware especializado que custa “algumas centenas de euros” on-line e alguns softwares personalizados, o invasor pode analisar a chave e, usando um processo de computação, determinar uma chave mestra que vai abrir todas as portas do mesmo hotel com o sistema.

Essa chave pode ser introduzida em um keycard em branco e passada para um cúmplice dentro do hotel. De acordo com a F-Secure, esse ataque funciona tanto em cartões com tarja magnética quanto em cartões-chave de hotel do modelo RFID, os mais sofisticados.

Seguindo as práticas recomendadas de divulgação responsável de vulnerabilidades de segurança, a F-Secure informou a Assa Abloy sobre a questão no ano passado e, silenciosamente, trabalhou com a empresa para resolver o problema. Uma correção foi criada a partir disso.