Fijne vakantie: hacker kan sloten van 4 miljoen hotelkamers openen

tags:
Userpica

Een hacker heeft de beveiliging van elektronische sloten van zeker 4 miljoen hotelkamers gekraakt met simpele Arduino-elektronica.

Mozilla-medewerker Cody Brocious heeft tijdens een Amerikaans security-congres woensdagochtend gedemonstreerd hoe de elektronische sloten van zeker vier miljoen hotelkamers zijn te hacken. De sloten van fabrikant Onity zijn te openen door goedkope Arduino-elektronica van 50 dollar in te pluggen op de stroomaansluiting van het slot, waarna de deur binnen een paar seconden opengaat. Bij een praktijktest in een hotel slaagde Brocious in zeker 1 van de 3 pogingen.

De Mozilla-programmeur heeft een apparaatje nagebouwd dat hotelpersoneel gebruikt om alle sloten te bedienen waarbij ze een soort master key kunnen instellen. Het geheugen van elk slot is echter blootgesteld, en daar staat die cryptografische master key op. De Arduino-hardware haalt de code uit het geheugen, waarna de deur is te openen.

De firma Onity heeft 4 tot 5 miljoen sloten aan hotels geleverd, maar ook andere fabrikanten gebruiken vergelijkbare systemen. Mogelijk zijn volgens Brocious maar liefst 10 miljoen hotelkamerdeuren te openen met deze methode, ongeveer de helft van alle hotelsloten.

Met wat extra tijd is volgens de hacker een apparaatje te maken dat betrouwbaar werkt en geen sporen achterlaat. Opsporingsdiensten zouden de methode ook al gebruiken.

door Tonie van Ringelestijn, 25-07-2012 10:54 1 reactie, 3217 views

p1800, 1 jaar geleden
afbeelding van p1800

Vreemd dat net als bij Auto's cryptografische keys zo maar uit het apparaat zijn te halen. Je verwacht "tamper-proof" bescherming van zo'n key en automatische vernietiging bij pogingen om de key eruit te halen of te veranderen.

Bij veel auto's schijn je via de diagnose aansluiting de masterkey te kunnen ontfutselen.

Als opsporingsdiensten ook al gebruik maken van deze methode dan heeft het wel lang geduurd voordat dit publiekelijk bekend is geworden.


NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.

Bright Bunch

inloggen aanmelden

Wie is nu Hier?

Er zijn momenteel 3 Bright Bunch leden en 105 bezoekers online.