黑客嘗試入侵酒店客房與POS系統(tǒng)
E安全8月3日訊 來(lái)自Rapid7公司的安全研究人員Weston Hecker開(kāi)發(fā)出一款成本僅為6美元的工具,但其足以開(kāi)啟酒店房門(mén)及攻克銷(xiāo)售點(diǎn)系統(tǒng),。
相信沒(méi)人指望酒店的電子鎖能擋得住黑客們的入侵——但真正令人驚訝的是,,技術(shù)人員僅使用一款成本為6美元的工具就完成了這一目標(biāo),。
來(lái)自Rapid7公司的安全研究人員Weston Hecker打造出一款成本極低的小型設(shè)備,可用于開(kāi)啟各類(lèi)酒店房門(mén),。
這款設(shè)備只有一張磁卡大小,,亦可用于入侵銷(xiāo)售點(diǎn)系統(tǒng)與現(xiàn)金出納機(jī)。
去年,,知名黑客Samy Kamkar設(shè)計(jì)出一款名為MagSpoof的工具,,這款成本低廉的小工具(成本為10美元)能夠預(yù)測(cè)并存儲(chǔ)數(shù)百?gòu)埫绹?guó)運(yùn)通(AMEX)信用卡信息,并利用其進(jìn)行無(wú)線交易,。這款小工具實(shí)際上是一款信用卡/磁卡欺詐裝置,,這套包含有微控制器、驅(qū)動(dòng)馬達(dá),、電線,、電阻器、開(kāi)關(guān),、LED以及一塊電池的設(shè)備還適用于有線支付終端,。
現(xiàn)在,,Weston Hecker對(duì)Kamkar的MagSpoof做出了進(jìn)一步改進(jìn),,事實(shí)上這款成本僅為6美元的新工具能夠直接讀取并復(fù)制電子鑰匙。該工具還可以針對(duì)門(mén)鎖發(fā)動(dòng)“暴力破解”攻擊,,從而順利開(kāi)啟房門(mén),。
攻擊者可以利用此工具訪問(wèn)酒店客房鑰匙中的信息,具體包括對(duì)開(kāi)數(shù)編碼輸出結(jié)果,、酒店房間號(hào)以及結(jié)賬日期等等,。
黑客可以將該工具靠近讀卡裝置,并利用以上信息的任意組合進(jìn)行暴力破解,。這款工具速度極快,,每分鐘可以進(jìn)行48次鑰匙組合猜測(cè)。
“在此之后,,他會(huì)了解到鑰匙副本中有哪些數(shù)據(jù)字段需要猜測(cè),,”《福布斯》雜志的Thomas Fox-Brewster寫(xiě)道。
“黑客隨后可以前往某間酒店客房,,手持Hecker的工具貼近讀卡裝置,,并運(yùn)行由上述細(xì)節(jié)信息組成的密鑰組合嘗試,直到試出正確的組合(即密鑰)。”
這款設(shè)備之所以速度極快,,是因?yàn)榕cKamkar設(shè)計(jì)的原始工具相比,,其可利用多條天線以負(fù)載均衡方式實(shí)現(xiàn)并發(fā)工作。
“可以將其視為一種負(fù)載均衡機(jī)制,,”Hecker在接受《福布斯》雜志采訪時(shí)解釋稱(chēng),。“當(dāng)一根天線過(guò)熱,其即會(huì)轉(zhuǎn)移至另一根天線,。”
這臺(tái)設(shè)備可用于入侵銷(xiāo)售點(diǎn)系統(tǒng)(即PoS機(jī)),,并可通過(guò)磁條讀取裝置注入鍵盤(pán)敲擊內(nèi)容。
Weston Hecker本周將在拉斯維加斯舉行的DefCon大會(huì)上演示該設(shè)備,。