Theo các nhà nghiên cứu của F-Secure (Phần Lan), phần mềm của các thiết bị này có một lỗi, cho phép tạo ra "chìa khóa tổng" có thể mở bất kì phòng hay cánh cửa nào mà không để lại dấu vết trong cơ sở dữ liệu. F-Secure cho biết đã xúc tiến nhiều nỗ lực khắc phục lỗi trong những năm qua nhưng chưa thành công, một phần do nguy cơ chưa được các nhà sản xuất khóa đánh giá đúng mực.Theo F-Secure, số lượng lớn các ổ khóa hiện nay đều dùng phần mềm của Vision Software, vốn đã 20 năm tuổi. Trong đó, nổi bật hơn cả là ổ khóa của Assa Abloy, được triển khai trên nhiều hệ thống khách sạn danh tiếng như Intercontinental, Hyatt, Radisson và Sheraton. Việc nghiên cứu về nguy cơ mở khóa không để lại dấu vết được F-Secure tiến hành sau khi một chiếc máy tính xách tay của họ bị đánh cắp khỏi phòng khách sạn, nhưng tên trộm không để lại bất cứ vết tích nào về hành vi đột nhập trái phép.
Cũng theo đại diện của F-Secure, dữ liệu lấy từ những chiếc thẻ từ VingCard (một phần trong hệ thống khóa) có thể được lợi dụng để tiến hành các vụ đột nhập, kể cả khi mã thẻ đã hết hạn sử dụng hoặc chỉ là thẻ để mở gara xe hay kho đồ, chứ không nhất thiết phải là thẻ mở phòng khách sạn. Một khi kiểm soát được quyền truy cập, kẻ xấu thậm chí có thể dễ dàng vào các phòng VIP hay khu vực chứa đồ quý giá của khách sạn mà không để lại dấu vết nào.
Song song với việc công bố lỗ hổng mới, F-Secure cũng khẳng định sẽ không chia sẻ các thiết bị phần cứng và phần mềm mà họ đã sử dụng để thử nghiệm đột nhập thành công với bất kì đối tác nào.
Cũng theo đại diện của F-Secure, dữ liệu lấy từ những chiếc thẻ từ VingCard (một phần trong hệ thống khóa) có thể được lợi dụng để tiến hành các vụ đột nhập, kể cả khi mã thẻ đã hết hạn sử dụng hoặc chỉ là thẻ để mở gara xe hay kho đồ, chứ không nhất thiết phải là thẻ mở phòng khách sạn. Một khi kiểm soát được quyền truy cập, kẻ xấu thậm chí có thể dễ dàng vào các phòng VIP hay khu vực chứa đồ quý giá của khách sạn mà không để lại dấu vết nào.
Song song với việc công bố lỗ hổng mới, F-Secure cũng khẳng định sẽ không chia sẻ các thiết bị phần cứng và phần mềm mà họ đã sử dụng để thử nghiệm đột nhập thành công với bất kì đối tác nào.
Nguyễn Thúc
Từ khoá
Không có nhận xét nào:
Đăng nhận xét