■李亚东

网络安全公司F-Secure两名研究人员发现，知名锁和安防解决方案供应商Assa Abloy旗下VingCard提供的电子门锁软件Vision中存在设计漏洞，全球数百万个酒店房间的电子门锁面临黑客入侵风险。

这两名研究人员利用该漏洞设计了一种设备，能读有效或过期的酒店房卡，并生成一个主密钥来打开一家酒店的所有房间，或让攻击者进入安全的酒店区域。

研究人员指出，全球有166个国家超过4万个酒店、汽车旅馆等在使用这个存在漏洞的软件Vision。

2003年，某F-Secure的研究人员入住德国柏林一家知名酒店后，笔记本电脑被盗，但旅馆人员调查后并未发现任何小偷侵入的痕迹。这起事件引起了托米宁和希尔沃宁的好奇，于是他们开始着手研究在完全不留痕迹的情况下，侵入酒店的电子门锁系统。

尽管劫持和克隆酒店房卡并不是什么新鲜事，但这两名研究人员设计的攻击方式有其特别之处：它允许攻击者在几分钟之内为整个酒店生成一个主密钥，所需的资源就是一张普通的酒店房卡，甚至过期的房卡。

研究人员设计的这款设备可以读取电子房卡的RFID信号，然后利用Vision软件中存在的漏洞生成其它电子房卡的密钥，软件例程会在研究人员设计的这款设备上运行，直到生成可打开酒店的所有房间门的主密钥，这个过程通常只需要几秒钟到几分钟的时间。使用这种方式打开门锁后，不会在酒店房卡软件日志中留下证据。

发现漏洞后，F-Secure 2017年就已通知Assa Abloy，目前Vision的漏洞补丁已发布，因部分酒店还需要时间安装补丁，因此不会透露受影响的酒店，以确保将攻击风险降到最低。