Könnyűszerrel feltörhetők a mágneskártyával nyíló hotelszobaajtók?

A legitim vendégek számára nem éppen kellemes lehetőséget - ti. hogy szinte bárki észrevétlenül beléphet bérelt szobájukba - az ilyen szállodákban leggyakrabban alkalmazott beléptetőrendszer egy súlyos tervezési hibája teszi lehetővé - írja Sting a PC Fórumon.

A sebezhetőséget felfedező - egyébként a Firefox-ot is fejlesztő Mozilla-nál dolgozó - programozó szerint a probléma által érintett Onity típusú beléptetőrendszerek világszerte mintegy 4-5 millió hotelszoba ajtaját hivatottak megvédeni, amely feladatuknak azonban a fejlemények tükrében aligha tudnak eleget tenni. Az illetéktelen behatolást azt teszi lehetővé, hogy a szóban forgó, kártyaolvasóval egybeépített zárszerkezeteken egy olyan, teljesen nyílt csatlakozó található, amin keresztül közvetlenül hozzá lehet férni az egység szinte minden adatához - közöttük ahhoz a kódhoz is, amely az ajtó nyitásához szükségeltetik.

A PC Fórum szerzője szerint bár a kód az eszköz memóriájában nem közvetlenül olvasható formában van jelen, azt mindössze egy a szakértő szerint "gyenge"-ként besorolt titkosítás (vélhetően XOR vagy hasonló bonyolultságú kódolás) védi csak. Így az egy mindössze párezer forintos, akár a tenyérben is elférő miniszámítógép segítségével pillanatok alatt kiolvasható a zárból, birtokában pedig aktiválható az ajtó nyitását lehetővé tevő mechanizmus is.

A Forbes magazin a módszert néhány New York-i hotelben már előzetesen tesztelő riportere szerint ugyan a támadókód neki ugyan csak minden harmadik ajtó nyitását tette lehetővé, azonban ez is elképesztő lehetőségeket csillant fel a szállodai tolvajok számára - és hasonlóan intenzív aggodalommal töltheti el a megszálló vendégeket.

Előbbiek ugyanis így egy párezer forintos szerkezet segítségével gyakorlatilag probléma nélkül juthatnak be a szállodai szobák jelentős részébe, ahonnan az ott tartózkodó vendégek értékeit könnyűszerrel lovasíthatják meg. Ehhez ráadásul még programozónak sem kell lenniük, hiszen a Mozilla-munkatárs által weboldalán most közzétett támadókód, valamint az annak futtatására képes Arduino számítógép összepárosítására akár közepesen komoly felhasználói ismeretek birtokában is bárki képes lehet.

A támadókód közzétételétől a felfedező azt reméli, hogy a szóban forgó, sebezhető ajtózárakat gyártó cég így lezárja majd a biztonsági réseket termékein. Az azonban továbbra is kérdéses, hogy ehhez mindenképpen szükséges -e a veszélyes kódok hozzáférhetővé tétele bárki számára, illetve, hogy minderre biztosan az üdülési szezon kellős közepén kell -e sort keríteni - vagy megoldható lett volna -e más időzítéssel is.