Ключ от всех дверей

Специалисты финской компании F-Secure обнаружили уязвимость ПО Vision, используемого для программирования карт-ключей VingCard. Такие ключи используются для открывания электронных замков компании Assa Abloy – мирового лидера в производстве подобных замков. Замками Assa Abloy, в частности, оснащены двери миллионов комнат отелей во всем мире. Финские исследователи нашли способ создания универсальной карты-отмычки, с помощью которой можно открыть любой замок. Системой карта будет воспринята как обычный ключ, а потому никаких свидетельств несанкционированного проникновения в комнату не сохранится. При этом «отмычкой» можно сделать абсолютно любую карту-ключ, включая и давно не используемые – а ни для кого не секрет, что гости часто забывают вернуть эти карты, покидая отель.

Любопытна предыстория этого открытия. Почти 10 лет назад у одного из сотрудников F-Secure, находившегося в командировке (причем на конференции по кибербезопасности), был похищен ноутбук. Компьютер пропал из закрытого гостиничного номера. Администрация отеля отклонила претензии, сославшись на то, что замок в номере цел, и никаких следов проникновения нет. Это и заставило исследователей задуматься над возможностью «идеального взлома» электронных замков. Долгие годы они экспериментировали с электронными ключами, пока, наконец, не достигли цели.

Представители F-Secure уведомили об уязвимости компанию Assa Abloy и вместе с ее специалистами работали над созданием обновлений безопасности, отказавшись даже от оплаты своих услуг. В результате необходимые обновления уже существуют. Вице-президент Assa Abloy Кристоф Сат назвал проделанную F-Secure работу и ее результаты «весьма впечатляющими». Он также подчеркнул, что компания тесно взаимодействует с цепочками отелей по всему миру, чтобы разъяснить им важность незамедлительного обновления ПО. Впрочем, учитывая опасность эксплуатации уязвимости, в F-Secure вообще не намерены раскрывать ее подробное описание.