Tietoturvayhtiö F-Secure kertoo löytäneensä monessa hotellissa käytössä olevasta avainkorttijärjestelmästä tietoturva-aukon, jonka avulla esimerkiksi vanhasta avainkortista voi tehdä yleisavaimen hotelliin.
Haavoittuvuus löytyi lukkovalmistaja AssaAbloyn sähköisestä lukitusjärjestelmästä. Radiotaajuuksilla toimiva järjestelmä vartioi miljoonia ovia hotelleissa ja risteilijöillä ympäri maailmaa. Löydön taustalla on vuosia kestänyt tutkimustyö, jossa tutkijat perehtyivät perinpohjaisesti lukitusjärjestelmään.
– Tämä on ollut aika mielenkiintoinen tutkimusmatka, jossa 15 vuoden aikana on välillä tehty enemmän ja välillä vähemmän tutkimusta, sanoo tietoturvatutkija Tomi Tuominen.
Yhdistelemällä pieniä suunnitteluvirheitä järjestelmässä tutkijat onnistuivat rakentamaan hyökkäyksen, jonka avulla mistä tahansa hotellin avainkortista voidaan tehdä yleisavain. Hyökkäyksessä käytettävä avainkortti voi olla voimassa oleva hotellihuoneen avain tai se voi olla viiden vuoden takaiselta käynniltä.
