Magyar szállodai zárakat is érint egy biztonsági hiba

A Black Hat hackertalálkozó egyik szenzációja volt idén egy, a Mozillánál dolgozó fejlesztő, Cody Brocious előadása, aki bemutatta, hogy egy általa ötven dollárból megépített eszközzel hogyan tud felcsatlakozni egy széles körben használt szobai digitális zár adatportjára, majd az innen kinyert információk révén másodpercek alatt ki tudja nyitni a szállodai szoba ajtaját.


A videó illusztráció

Az érintett zárgyártó, a Magyarországon is több mint 130 szálláshelynek szállító Onity némi sürgetés után komoly vette a figyelmeztetést, és nemrég közölték a hackerrel és a nyilvánossággal, hogy hamarosan javítják a sérülékenységet a világszerte közel négymillió szállodai szobánál használt zárak közül a HT-sorozatnál. Mindez nagyszerű hír, és felelősségteljes hozzáállásra is utalhatna, de a feketeleves még hátravan: a vállalat csak hardveres javítással tudja megszüntetni a biztonsági hibát, és ennek költségeit rá kívánják terhelni a cég ügyfeleire.

A cég közleményében szerepel, hogy két fázisban végzik el a javítást: tűzoltásként először egy védőkupakot helyeznek el az adatportra, mely csak akkor nyitható fel, ha magát a zárat is kinyitották. Az igazi megoldást augusztus végétől tervezik bevezetni: új áramköri lapkákat és új firmware-t küldenek a felhasználó szállodáknak, és itt szerepel az, amit nem kevés kritika fogadott: az alkatrészek és a csere költségeit gyakorlatilag maguknak a megrendelőknek kell állniuk.

A nagy múltú, e szegmensben igen tekintélyesnek számító Onity egyébként meglehetősen fennhéjázóan kezelte eleinte az ügyet, és azt írták Brociousnak első levelükben, hogy három New York-i szállodában is kipróbálták a módszert, ám csak egynél sikerült hackelniük a zárakat. Ezzel szemben álltak a fejlesztő tapasztalatai, aki több hackert is megkért tesztelésre, és mindannyian arról számoltak be, hogy az eljárás tökéletesen működik.

Brocious – érthető módon – felháborodott a frissítés feltételein, de emellett szakmai kifogásokat is emelt az Onity lépése kapcsán: azt állítja, hogy nem elegendő a fogadó eszközt javítani, mivel a sebezhetőség szerinte két részből áll: az adatport mellett szükséges lenne azokat az eszközöket is átnézni biztonsági szempontból, melyeket az adatportba csatlakoztatnak, ugyanis ezek az eszközök hozzáférnek kritikus szoftveres területekhez (pl. a memóriához), és ha ezeket nem szinkronizálják az új biztonsági feltételekhez, akkor megmarad egy rés, és az egész folyamat a befejezetlensége miatt nem éri el célját. Röviden: Brocious azt kifogásolja, hogy nem a teljes rendszert, hanem csak annak egyes elemeit vizsgálták felül. Emellett mind előadásában, mind blogjában azon mérgelődött, hogy az általa feltárt sebezhetőség legalább tíz éve létezik, és a cég láthatóan nem törődött ilyen biztonsági kérdésekkel, vagyis a szakember a biztonsági audit elmaradására hívta fel a figyelmet.

Érdeklődtünk Magyarországon is, hogy mennyire ismert a probléma, és történik-e valami az ügyben. A magyar Onity-képviselet, ilyenkor természetes módon, nem nyilatkozhat, a szúrópróbaszerűen felhívott szállodákban pedig azt tapasztaltuk, hogy a nagy cégek tudnak róla, de alig rendelkeznek információkkal, a kisebb szálláshelyeken pedig az IT café tudósítójától szereztek tudomást a problémáról.

Azóta történt

Előzmények