บ้าน Securitywatch แฮ็คไฟในโรงแรมสุดหรู

แฮ็คไฟในโรงแรมสุดหรู

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
Anonim

ในระหว่างการเข้าพักที่ St. Regis ในเมืองเซินเจิ้นประเทศจีน Jesus Molina ที่ปรึกษาด้านความปลอดภัยอิสระและอดีตประธานกลุ่ม Trusted Computing ประสบความสำเร็จในการเจาะระบบควบคุมห้องพัก 200 ห้องในโรงแรมหรู

โรงแรมให้บริการ iPad ในห้องพักแต่ละห้องซึ่งช่วยให้ผู้เข้าพักสามารถควบคุมแสงไฟและผ้าม่านได้ โมลินาอธิบายต่อผู้เข้าร่วม Black Hat เมื่อวันศุกร์ว่าเขาอยากรู้เกี่ยวกับระบบอัตโนมัติที่ใช้โดย iPad อย่างไร โมลินาสังเกตเห็นว่ามันใช้บริการอินเทอร์เน็ตของแขกเพื่อสื่อสารกับโคมไฟและวัตถุอื่น ๆ คำสั่งการทำงานอัตโนมัติใช้ KNX / IP ซึ่งเป็นโปรโตคอลเก่าสองทศวรรษที่ไม่มีการตั้งค่าความปลอดภัย ในขณะที่มี KNX / IP รุ่นล่าสุดซึ่งมีการตั้งค่าความปลอดภัยบางส่วนผู้ใช้ส่วนใหญ่ยังไม่ได้อัปเดต

เรากำลังพูดถึงความไม่ปลอดภัยอย่างไร Molina พบว่าหากเขาใช้ที่อยู่ IP ของอุปกรณ์หนึ่งชิ้นและเปลี่ยนเลขหลักสุดท้ายเขาก็สามารถเข้าถึงอุปกรณ์อื่นในห้องได้ เขาเขียนสคริปต์เพื่อทำแผนที่ที่อยู่ IP สำหรับแสงและผ้าม่านในห้องต่างๆ 200 ห้อง เขาต้องขอให้แผนกต้อนรับสลับห้องของเขาสี่ครั้งเพื่อปรับแต่งแผนที่เครือข่ายของโรงแรม

โมลินาแสดงวิดีโอของตัวเองว่ากำลังทำการทดสอบและเปิดไฟในห้องจากระยะไกล

โมลินาแจ้งกลุ่มสตาร์วูดซึ่งเป็นเจ้าของเครือโรงแรมซึ่งเป็นเจ้าของเซนต์เรจิสและแจ้งข้อบกพร่อง สตาร์วูดให้ความร่วมมือและแก้ไขข้อบกพร่องได้อย่างรวดเร็วดังนั้นโรงแรมทั้งหมดที่ใช้ระบบนี้จะไม่มีช่องโหว่อีกต่อไป

อย่างไรก็ตาม KNX / IP เป็นมาตรฐานสำหรับระบบอัตโนมัติของอุปกรณ์โรงแรมในประเทศจีนและยังนำไปใช้อย่างแพร่หลายในยุโรป นั่นเป็นโรงแรมจำนวนมากที่ใช้โปรโตคอลที่เก่าและไม่ปลอดภัย Molina ตั้งข้อสังเกตว่าในขณะที่ KNX / IP นั้นควรจะเป็นมาตรฐานเอกสารอธิบายถึงวิธีการใช้มันมีราคาสูงกว่าหนึ่งพันดอลลาร์ ซึ่งหมายความว่าโรงแรมที่ไม่ได้อยู่ในสตาร์วูดที่ใช้ระบบอัตโนมัติที่คล้ายกันอาจยังมีช่องโหว่

แฮ็คไฟในโรงแรมสุดหรู