Sono pratiche, leggere e da un po’ di anni familiari a chiunque viaggi spesso. Sono le chiavi elettroniche consegnate dagli alberghi ai loro clienti, sotto forma di tessere che sono usate per aprire la porta della camera, azionare le luci e a volte anche prendere l’ascensore. Ma sono anche sicure? Potrebbero essere compromesse da un hacker?
Due ricercatori di sicurezza, un po’ di anni fa, sull’onda di qualche brutta esperienza in hotel in cui ad alcuni colleghi era sparito il laptop, ma in cui non risultavano segni di scasso o accessi abusivi in stanza, se lo sono chiesto. E infine hanno trovato una risposta che non è molto rassicurante. Per almeno una delle marche più diffuse di questo sistema di apertura delle porte, esiste un modo per realizzare una chiave master, un passepartout, in grado di spalancare, potenzialmente, milioni di stanze d’albergo in tutto il mondo. Senza lasciare traccia.
I ricercatori Tomi Tuominen e Timo Hirvonen, della società di cybersicurezza finlandese F-Secure, hanno infatti scoperto che le catene alberghiere globali stanno usando un sistema elettronico di chiusura che potrebbe essere sfruttato da un hacker per ottenere accesso a qualsiasi camera nell’edificio. La falla di progettazione è stata individuata nel sistema usato dalle chiavi Vision by VingCard. Secondo i calcoli di F-Secure, tale sistema è utilizzato in oltre 40 mila edifici in 166 Paesi: si tratta dunque di milioni di stanze.
“Il problema è di tipo software ed esiste una patch, un aggiornamento per risolverlo”, hanno spiegato ad AGI i due ricercatori in una conversazione telefonica. E infatti il produttore del sistema, Assa Abloy, che si è mostrato collaborativo, è corso a rilasciare aggiornamenti per risolvere la falla Ma c’è un dettaglio collaterale. “Le singole catene alberghiere devono occuparsi dell’aggiornamento”, spiegano ancora Tuominen e Hirvonen. “O scaricandolo dal sito del produttore o ricevendolo da un loro fornitore di servizi. E poi devono occuparsi dell’aggiornamento manualmente su ogni singola porta. È un lavoro piuttosto intensivo”. Ciò fa temere che non tutti gli alberghi potrebbero essere così ligi nel seguire la procedura per la messa in sicurezza.
Per eseguire l’attacco ai ricercatori basta ottenere una qualsiasi chiave elettronica di un hotel – anche una che è scaduta, scartata, o usata per accedere a spazi marginali come il garage o il deposito. Ma non devono rubarne per forza una, basta sottrarre i suoi dati attraverso un dispositivo ad hoc.
“E questo si può fare anche in ascensore, mentre si è vicino a un cliente con le chiavi. Il tutto dura meno di un secondo”, commentano. A quel punto, usando le informazioni presenti sulla scheda, i ricercatori sono in grado di creare una chiave master, cioè una chiave che possa aprire qualsiasi stanza nell’edificio. “Abbiamo fatto il reverse engineering del software. Poi è come se creassimo una varietà di chiavi, immagina come un portachiavi pieno, e dobbiamo provarle su una serratura di un hotel fino a trovare quella giusta.”
La procedura, precisano Tuominen e Hirvonen, è teoreticamente possibile anche su altre marche, ma nello specifico il loro attacco si applica solo a questo produttore. La notizia positiva però è che sviluppare una simile procedura non è banale. Loro ci hanno messo anni. “L’idea è iniziata nel 2003, anche se è stato un progetto di ricerca discontinuo, inframezzato da altro; poi nel 2015 abbiamo intensificato. Ma non è semplice da replicare, bisogna creare un laboratorio, testare l’hardware”.