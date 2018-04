13:27 · 26.04.2018

A clonagem pode ser feita em segundos ( GIF: repdorução / F-Secure )

Uma falha de segurança grave em fechaduras eletrônicas deixou milhões quartos de hotéis vulneráveis em todo o mundo. Os desenvolvedores que criaram o método de invasão conseguiram criar uma chave mestra, capaz de abrir qualquer fechadura da VingCard, fornecedora global de sistemas de hotéis.

Segundo Tomi Tuominen e Timo Hirvonen, funcionáios da empresa de cibersegurança F-Secure, existe uma falha no projeto de software da empresa de chaves eletrônicas. De acordo com as contas da F-Secure, o software defeituoso, chamado de Vision, está presente em pelo menos 166 países e mais de 40 mil prédios. Esses números mostram que milhões de portas em todo o mundo são vulneráveis ao ataque desenvolvido pela dupla.

O processo é simples e pode ser feito em poucos minutos. Com qualquer chave de um mesmo hotel, até mesmo a que dá acesso apenas às áreas comuns, como academia, os desenvolvedores conseguem criar uma chave mestra, que abre qualquer porta do prédio, desde os quartos até as áreas exclusivas para funcionários.

Ainda segundo os pesquisadores, a chave usada para criar o clone mestre pode inclusive estar com seu tempo expirado. Em outras palavras, as chaves de hotel que uma pessoa leva pra casa, por exemplo, podem servir para criar clones para os hotéis que ela já visitou.

A clonagem em si pode ser feita em segundos. A dupla explica que o cartão pode ser copiado até mesmo de dentro do bolso da vítima, dentro do elevador, por exemplo. Após a cópia do cartão, o próximo passo é usar um dispositivo portátil chamado de Proxmark, que usa a radiofrequência para percorrer todos os demais códigos possíveis em qualquer trava do hotel.

Ele consegue identificar o correto em cerca de 20 tentativas e, em seguida, escreve esse código mestre em um cartão que dá ao hacker liberdade de vagar em qualquer sala no edifício. Um minuto é tempo o suficiente para completar o processo.

Outro ataque

Os pesquisadores ainda descobriram que o Vision tem outra falha. Caso conectado na mesma rede do hotel, o software pode ser invadido e um usuário malicioso poderia ganhar acesso a dados sensíveis dos consumidores, fazer uma cópia ou até mesmo criar, deletar ou modificar dados.

Os pesquisadores trabalharam durante o ano passado com a Assa Abloy, empresa dona da VingCard, numa solução que os pesquisadores não conseguiriam burlar com facilidade. Agora, cabe aos hotéis atualizarem seus softwares para manter seus hóspedes mais seguros.