• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:496

1.芬蘭研究人員發現鎖具製造商亞薩合萊（Assa Abloy）的電子鎖系統有漏洞，駭客僅需隨便一張房卡，就能備份卡片內資料，製作一張通行所有房間的萬用卡片。

芬蘭防毒軟體公司芬氏安全（F-Secure）的研究人員Tomi Tuominen以及Timo Hirvonen，發現駭客其實只需要隨便一張房卡，就能透過複製卡片內的資料，製作一張可以通行所有房間的萬用卡片，過程中甚至不會留下任何可追蹤痕跡，這個案例也敲響了旅宿業者的警鐘。
大部分使用電子鎖系統的旅館，都會提供房客一次性房卡，這些房卡大部分是使用RFID技術（無線射頻辨識），研究人員發現，全球最大的鎖具製造商亞薩合萊（Assa Abloy），由第三方公司VingCard開發的底層系統Vision有漏洞，「我們發現只要使用任何一張旅館房卡，就可打造一張在旅館內通行無阻的萬能卡，且這張房卡甚至過期也通用。」
在發現漏洞後，芬氏安全在去年通知亞薩合萊，一起修復了這項漏洞，並鼓勵旅館業者安裝修復軟體，芬氏安全表示，因部分旅館還需要時間安裝補丁，因此不會透露受影響的旅館，確保遭攻擊風險降到最低。
目前多數旅館房卡，都是使用傳統磁條或RFID，但這類卡片除了容易遺失，已有被消磁的風險。近年像是喜達屋SPG集團旗下酒店，就導入低功耗藍牙（BLE）技術，推出「無卡入住（SPG Keyless)」功能，讓房客透過飯店App直接用手機就能解鎖，這套系統能讓房客直接在App上完成入住手續，還能在App中隱藏房號確保安全，旅館也能在後台管理房客資料、更新開鎖設定，就能避免房卡資料遭竊，以及消磁風險。

參考連結：

https://www.bnext.com.tw/article/48924/hotel-key-cards-even-invalid-ones-help-hackers-break-into-rooms
https://technews.tw/2018/04/27/hackers-find-devious-way-to-break-into-hotel-rooms/
https://news.mingpao.com/pns/dailynews/web_tc/article/20180427/s00014/1524767559770
https://www.ithome.com.tw/node/77526
https://www.ithome.com.tw/node/75122