További Tech cikkek
- Az Instagram ezentúl korlátozza a politikai tartalmakat
- Japán szigorítana a mesterséges intelligencia fejlesztésén
- Elképesztő változáson esik át a Waze
- Fél évig akár féláron is használhatják a vezetékes internetet a Digi előfizetői
- Aggódik az Apple az iPhone miatt, biztonsági kockázatokat rejthet egy uniós szabályozás
A Black Hat hekkertalálkozó egyik szenzációja volt idén a Mozillánál dolgozó fejlesztő, Cody Brocious előadása, aki bemutatta, hogy egy ötven dollárból megépített eszközzel hogy tud felcsatlakozni egy széles körben használt digitális zár adatportjára. Az innen kinyert információk segítségével másodpercek alatt ki tudja nyitni a szállodai szoba ajtaját.
Az érintett zárgyártó, a Magyarországon is több mint 130 szálláshelynek szállító Onity némi sürgetés után komoly vette a figyelmeztetést. Nemrég közölték a hekkerrel és a nyilvánossággal, hogy hamarosan javítják a sérülékenységet; erre szükség is lesz, mivel a HT sorozatú zárakat világszerte közel négymillió szállodai szobánál használják. Mindez felelősségteljes hozzáállásra is utalhatna, de problémát jelenthet, hogy a vállalat csak hardveres javítással tudja megszüntetni a biztonsági hibát, és ennek költségeit rá kívánják terhelni a cég ügyfeleire.
Tagadták a vádakat
A cég közleményében szerepel, hogy két fázisban végzik el a javítást. Biztonsági intézkedésként először egy védőkupakot helyeznek el az adatportra, mely csak akkor nyitható fel, ha magát a zárat is kinyitották. Az igazi megoldást augusztus végétől tervezik bevezetni: új áramköri lapkákat és új firmware-t küldenek a felhasználó szállodáknak. Azt többen is hevesen kritizálták, hogy az alkatrészek és a csere költségeit gyakorlatilag a megrendelőknek kell állniuk.
A nagy múltú, e szegmensben igen tekintélyesnek számító Onity eleinte nem vette túl komolyan az ügyet; az első levelükben azt írták Brociousnak, hogy három New York-i szállodában is kipróbálták a módszert, ám csak egynél sikerült feltörniük a zárakat. Ennek ellentmondanak a fejlesztő tapasztalatai, aki több hekkert is felkért tesztelésre, és mindannyian arról számoltak be, hogy az eljárás működik.
Elmaradt a biztonsági audit
Brocious felháborodott a frissítés feltételein, de emellett szakmai kifogásokat is emelt az Onity lépése kapcsán. Azt állítja, hogy nem elegendő a fogadó eszközt javítani, mivel a sebezhetőség szerinte két részből áll. Szerinte az adatport mellett szükséges lenne azokat az eszközöket is átnézni, amiket az adatportba csatlakoztatnak, ugyanis ezek az eszközök hozzáférnek kritikus szoftveres területekhez, például a memóriához, és ha ezeket nem szinkronizálják az új biztonsági feltételekhez, megmarad egy rés, és az egész folyamat a befejezetlensége miatt nem éri el célját.
Brocious tehát azt kifogásolja, hogy nem a teljes rendszert, hanem annak csupán egyes elemeit vizsgálták felül. Előadásában és blogjában a programozó azt is kifogásolta, hogy az általa feltárt sebezhetőség legalább tíz éve létezik, és a cég láthatóan nem törődött ilyen biztonsági kérdésekkel.
A kisebb szállodák nem tudtak róla
Az Itcafé érdeklődött több magyarországi hotelnél is, hogy mennyire ismert a probléma, és történik-e valami az ügyben. A magyar Onity-képviselet ilyenkor természetes módon nem nyilatkozhat, a szúrópróbaszerűen felhívott szállodákban pedig azt tapasztalták, hogy a nagy cégek tudnak a problémáról, de alig rendelkeznek információkkal, a kisebb szálláshelyeken pedig a hírportál tudósítójától szereztek tudomást a problémáról.