Kuvitellaan laite, jolla hotelliasukkaan avainkortin voisi lukea lähietäisyydeltä. Riittäisi, että asiakas seisoisi vaikkapa hississä avainkortti taskussaan. Tämän jälkeen laitteen voisi asettaa hotellihuoneen sähkölukkoa vasten, jolloin siihen asennettu ohjelma etsisi hotellin yleisavaimen.
Kuulosta agenttitarinalta, mutta tällainen tietoturva-aukko on löytynyt miljoonissa hotellihuoneissa käytetyistä sähkölukoista. Aukko on mahdollistanut hotellin avainkortin muuttamisen yleisavaimeksi.
Haavoittuvia sähkölukkoja on myös suomalaishotelleissa, kertovat tietoturvayhtiö F-Securen tietoturvatutkijat Tomi Tuominen ja Timo Hirvonen.
He löysivät haavoittuvuuden tutkittuaan asiaa satunnaisesti 15 vuotta.
– Enemmän kuin kerran elämänsä aikana hotellissa majoittunut suomalainen on hyvin todennäköisesti ollut hotellissa, jossa tällainen kortti on ollut käytössä, Hirvonen sanoo.
Kortin luku tapahtuisi hyvin nopeasti.
– Tämä onnistuu alle minuutissa. Sen jälkeen laitetta käytetään yleisavaimena tai sitten sillä voidaan kirjoittaa yleisavain vaikka viisi vuotta vanhalle hotellikortille.Selvitys alkoi, kun Tuomisen ja Hirvosen ystävän tietokone varastettiin Berliinissä hotellihuoneesta vuonna 2003.
– Hotellihenkilökunta ei ottanut asiaa hirveän vakavasti. Meille sanottiin, että he olivat tutkineet hotellihuoneen lukon, eikä siitä löytynyt jälkiä luvattomasta avaustapahtumasta tai fyysisiä jälkiä, Tuominen sanoo.
Aukko markkinajohtajan lukoissa
Haavoittuvuus löydettiin Vision by Vingcard -sähkölukoista, joita valmistaa lukkojätti Assa Abloy Hospitality. Se on yksi kolmesta maailman johtavasta hotellialan toimijasta. Hospitalityn verkkosivuilla kerrotaan, että sen tuotteita on yli 42 000 rakennuksessa yli 160 maassa. Tuotteiden sanotaan suojaavan päivittäin yli viittä miljoonaa hotellivierasta.
Lue myös:
Tietoturva-aukko mahdollistaa Tinder-käyttäjien kiristämisen – nyt jyrähti jo senaattorikin
Hospitalityn johtaja Christophe Sut kertoo, että 3–6 prosenttia hotelleista käyttää lukkoja, joista tietoturva-aukko löydettiin. Vingcardeissa käytetään Visionin lisäksi Visionline-ohjelmistoa, jossa tietoturva-aukkoa ei ole.
– Olemme luopumassa Visionista, koska olemme lanseeranneet markkinoille uutta tekniikkaa neljä vuotta sitten. Vision oli iso tuote noin 20 vuotta sitten. Olemme kuitenkin korjanneet vian ja korjattu versio on asiakkaiden saatavilla, Sut sanoo.
Korjaustyöt aloitettiin, kun Tuominen ja Hirvonen ilmoittivat löydöstään Hospitalitylle vuoden 2017 alussa. He myös auttoivat Hospitalitya korjaustöissä.
Korjattu versio on ollut asiakkaiden saatavilla helmikuusta 2018 ja sen asentaminen on hotellien vastuulla. Tuomisen ja Hirvosen mukaan Suomessa monet hotellit ovat ottaneet sen nopeasti käyttöönsä.
"Tämä olisi tehtävissä kuukausissa"
Kukaan ei tiedä, onko Visionin haavoittuvuutta käytetty hotellihuoneisiin murtautumiseen. Sut epäilee asiaa.
Lue myös:
Pornosovelluksessa paha tietoturva-aukko: 20 000 käyttäjän nimet ja sähköpostiosoitteet paljastuivat
– En usko, että kukaan käyttäisi tekniikkaa, jonka kehittämiseen menee yli 10 vuotta, eikä ole edes varmaa, pääseekö avaimella huoneisiin. Haavoittuvuuden löytämiseen meni kauan, mikä on hyvä asia, koska se antaa hotelleille aikaa paikata vikoja.
Tuominen ja Hirvonen myöntävät, että hotellihuoneeseen voi murtautua helpomminkin. He myös uskovat, että aukon olisi voinut löytää nopeamminkin.
– Eihän se tarkoita, että jos meillä kesti yli kymmenen vuotta, kestäisi muillakin. Se on kuitenkin vaikeaa ja vaatii aikaa. Jos olisi optimaalinen viiden hengen tiimi, olisi tämä tehtävissä kuukausissa, Tuominen sanoo.