Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Onity HT-deurslot

Smartphone als sleutel: wat kan dáár nou misgaan?

De Hilton-hotelketen heeft een primeur: vanaf volgend jaar kun je de balie overslaan met je smartphone als sleutel.

De Hilton-hotelketen heeft een primeur: vanaf volgend jaar kun je de balie overslaan en je online geboekte kamer in met je smartphone als sleutel.

Als je een smartphone met Android of iOS hebt en je gaat wel eens naar een Hilton-hotel dan kan je smartphone binnenkort dienstdoen als kamersleutel. Stel je eens voor dat een smartphone gebruikt kan worden in 80 landen met 4000 hotels en 650.000 kamers - wat kan dáár nou misgaan?

Balie overslaan

Hilton Worldwide heeft voor 410 miljoen euro geïnvesteerd in technologieën waarmee tegen het eind van dit jaar gasten via hun smartphone een kamer kunnen kiezen vanaf een plattegrond. Gasten kunnen ook hun verblijf 'personaliseren' door upgrades te kopen en producten (als roomservice) te bestellen via mobiele apparaten of computers.

De mogelijkheid om de balie gewoon over te slaan en de smartphone als kamersleutel in te zetten volgt in 2015. Rond het einde van 2016 moet de meerderheid van alle Hilton-kamers deze optie ondersteunen.

Is het veilig of wordt deze feature het volgende drama na een hack? Wat vindt een Jesus Molina hier nou van, die dit jaar op Black Hat een presentatie geeft over hoe je een luxueuze hotelkamer overneemt. Hij vond kwetsbaarheden in communicatieprotocol KNX dat het St. Regis ShenZen-hotel in China gebruikt zodat gasten features in hun kamer kunnen beheren met de meegeleverde iPad en een digitale butler.

Protocol zonder security

"Het gebruik van een protocol als KNX voor domotica is niet logisch voor wireless", zegt de beveiligingsonderzoeker tegen Wired. "De guerrilla-oorlog die nu wordt uitgevoerd met Internet of Things-apparaten kan gevaarlijk worden. Hij beweert dat elke toepassing in het hotel op afstand is over te nemen door een aanvaller. "Het KNX/IP-protocol levert geen enkele security, dus elk hotel of publieke ruimte die het gebruikt op een onbeveiligd netwerk maakt het wel erg makkelijk om deze kwetsbaarheid uit te buiten."

Een woordvoerder van de KNX Association stelt dat de recentste versie van de standaard wel authenticatie én encryptie ondersteunt en dat het 'esssentieel is om aparte WiFi-netwerken te gebruiken' voor internettoegang voor gasten en aan de andere kant automatisering.

Bedrading opnieuw

Het Chinese hotel stelt dat de claims van Molina ongefundeerd zijn, maar heeft ondertussen wel het controlesysteem voor de inpandige iPads uitgeschakeld om het te voorzien van een upgrade. Omdat hiervoor het hele systeem verwijderd moet worden en de bedrading zelfs opnieuw getrokken gaat worden, lijkt de dreiging van deze exploit-methode alles behalve 'ongefundeerd'.

Het hotel is eigendom van de Starwood-keten, die met onder meer Hilton, Marriott en InterContinental concurreert om mobiele diensten te bieden in het hotel. De Wall Street Journal meldt dat ook Starwood experimenteert met mobiele telefoons als kamersleutel, Marriott heeft een in- en uitcheck dienst met mobiele apparaten en InterContinental stuurt push-meldingen naar gasten, bijvoorbeeld over happy hour in de hotelbar.

Smartphone met NFC

Hilton heeft de virtuele baliemedewerker Conrad Concierge in 2012 uitgebracht, waarmee bezoekers de gastheer-software kunnen raadplegen via een app op hun mobiele apparaat. Hilton zegt nog iedere zes tot acht weken nieuwe features te willen toevoegen. Zo wordt de digitale lobby nu real-time bijgewerkt, zodat gasten niet langer hoeven te wachten in de fysieke lobby om een sleutel te krijgen.

Volgend jaar kunnen gasten de rij zelfs helemaal overslaan en de deur van hun hotelkamer opendoen met een smartphonesleutel. Als Hilton momenteel inderdaad NFC gebruikt in zijn kaartsleutels is het logisch om aan te nemen dat je daar een smartphone met NFC-chip voor nodig hebt. Nieuwsgierige hackers zullen op zoek gaan naar gaten in de protocollen achter deze nieuwe features.

Security naderhand

Twee jaar geleden zagen we op Black Hat een hoteldeurhack waarmee wereldwijd miljoenen hotelkamers eenvoudig te ontgrendelen bleken - een hack waarmee later inbrekers aan de slag gingen. Het kostte onderzoeker Cody Brocious een fractie van een seconde om de deur open te klikken met een simpele Arduino. De inbrekers gebruikten een zelfgemaakte pentool van een paar tientjes die ze in de stroomoutlet staken van het Onity-deurslot.

Tijd en technologie schrijden voort en Molina laat op Black Hat zien dat het niet allemaal even veilig wordt ingezet. Features eerst, security later. Laten we hopen dat we Hilton's implementatie van de smartphonesleutel niet gaan zien in een presentatie op Black Hat 2015.


Mevrouw Smit - niet haar echte naam - is programmeur met een (bijna persoonlijke) interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.

Relevante profielen

Bekijk alle CIO-profielen »
Bekijk alle CXO-profielen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview