美国出现酒店幽灵大盗,没有任何强行闯入痕迹,客房里的东西会无故消失...这背后,靠的是一个致命的门锁漏洞,直到现在都还在....

 

 

话说,在2012年夏天,

美国凤凰城出现了一些怪事….

在凤凰城的多家酒店里,好像出现了一个幽灵,它来无影去无踪,每次都能顺手捞走一些东西。

 

最先遇到幽灵的是万豪酒店,

510-21

某天,一位客人回到自己的房间入住后,发现房间里原本有的毛巾和枕头不见了。

他清清楚楚地记着,离开之前肯定是有的,但现在找遍了整个房间都找不到。

酒店员工觉得很奇怪,门好好的,没有被撬过…

窗户也紧闭着,不像是有闯进来的痕迹…

更重要的是,谁会没事偷枕头呢??

最后他们重新给了客人枕头和毛巾,此事不了了之…..

 

但没过多久,万豪酒店,连同附近的希尔顿酒店、凯悦酒店、洲际酒店…..全都出现类似的事。

没有撬门、没有砸窗,在完好无损的封闭的房间里,

东西莫名其妙地不见了,

其中消失最多的,就是挂在墙上的液晶超薄电视….

(下图为凤凰城的‘受灾’地图,一个圆圈指该酒店被偷了一次)

510-12

 

‘没有指纹,没有强行进入痕迹,东西突然没了…就像有一个幽灵溜进溜出一样。’最早负责此案的亚利桑那州警官Tyler Watkins说道。

之后,失窃的范围越来越大,

从亚利桑那到俄亥俄,到田纳西,到处都有失窃案发生,

渐渐的,客人们的行李也开始消失,电脑、iPad、珠宝、手表、护照….甚至衣服,基本洗劫一空。

 

酒店报警后,警方意识到这是连环作案,

于是组成专项调查组,经过几百个小时地长时间观察监视录像,

他们终于发现了一个可疑的男人….

510-13

男人的面容看上去模糊不清,大约是1.8的身高,总是带着白色的帽子。

有时一个人,有时带着同伙…

他闲庭信步地走到酒店里,在走廊里来回踱步。

然后等到四下无人时,站到一间房的门口,

敲敲门,然后手里捣鼓着什么东西….

510-14

之后,奇怪的事发生了,

没过几秒钟,门就自动被他打开了!打开了!

等他们从房间出来后,手里拿着的就是大包小包的行李,从逃生通道离开….

510-15

这…这怎么可能呢?

能打开酒店的客房门,必须要有门卡才能进入啊,

但男人能在多家高档酒店里偷盗得手,他显然不可能专门偷客人的门卡,这难度太大了….

 

当时的警方迷惑不已,

想不通他怎么进去的。

但如果他们稍微关注一下那年夏天的黑帽安全技术大会(Black Hat Technical Security Conference),或者只是简单翻越一下当时的科技杂志,就明白这是怎么回事了…

这事儿和一名圆圆脸的长发黑客有关…

511-1

Cody Brocious是一名天才的电脑安全专家,那年他只有24岁。

因为一个偶然机会,一家科技公司雇佣他去研究市面上的酒店锁,当时这家公司想制造一种全新的酒店锁去竞争。

结果,不研究不知道,Cody发现,市面上的酒店锁龙头公司Onity,他们的锁里有一个大bug….

510-19

Onity的锁长这样…

客人拿着门卡查到酒店锁的槽口里,‘滴’的一声,门就开了..

510-20

但它不光长这样,在它的底部,有一个圆圆的DC插口,

这个插口的用处是用来插一种叫做portable programmer(便携式程序)的仪器。

在Onity的设计里,酒店想要决定哪扇门能被哪张门卡打开,就需要用这个仪器,同时,仪器也可以被用来当做主卡使用,有它能开所有门。

 

这设计也算合理,毕竟portable programmer是公司给酒店特意配备的,一般人根本接触不到。

但是….Cody发现一件要命的事…

能够触发锁的‘打开’指令的特殊的数字密匙,不是存储在仪器上,也不是门卡上,而是,锁自己身上!

更要命的是,

Cody发现,只要有一个插头插上锁的DC插口,就能直接读取锁的记忆库,没有任何保护,而且,开门的数字密匙就被放在记忆库里!

 

这是什么单纯的操作??

这不是在紧闭的防盗门前挂一串钥匙,然后想用过年贴的‘福’字海报想把钥匙勉强遮住吗?

 

Cody看到后吓坏了,全球有超过1千万间酒店的房间使用Onity的锁,被小偷知道后不堪设想….

于是,他决定把这件事告诉所有人。

 

呃…一般来说,一个秘密不广而告之,

大家是不会知道的,

但黑客圈里有点独特,他们每找到一家公司的漏洞后,喜欢告诉公众,让公司自己去修补漏洞。因为舆论压力,公司肯定会去管,但期间会不会有不法分子拿着漏洞犯罪,一般不会管那么多…

于是在2012年的黑帽安全技术大会上,Cody向大家展示着自己做的成本50美元的开锁神器。

510-7

里面包括一个电板,几个电阻,电线、电池,和DC插头,非常简单。

他当着记者的面实验了3家酒店的房间,将插头插入锁的DC口后,其中一间房成功被打开。

不是100%的成功率,但已经证明了漏洞…

510-1

Cody还把其中用到的代码、和制作的步骤都放到个人网站上去,现在人人都能看到这份攻略了….

果不其然,几天后,其他黑客们按照攻略做出了自己的开锁神器,

网上流传大量的视频。

电路板的线插到锁上….

510-2

510-3

连接上电池,门就亮了…

510-4

类似的…

510-5

门亮了,轻松打开…

510-6

还有人将神器做到很小,能放入手机…

510-8

一位芝加哥电脑安全员还将神器缩小到能放入油性笔,

足够隐蔽….

510-10

510-9但以上这些,都是黑客们自己闹着玩,

他们都是先订酒店之后,用自己的房间实验。

没人真的想犯罪,没事的。Cody轻松地想着…

Onity公司肯定能马上修补漏洞吧。

 

可关键在于,Onity修不了….

也不知道Onity当初是怎么想的,他们在锁里根本没有安装更新系统。

想要避免漏洞,可行的方法只有:酒店自己去换锁里的内部零件,或者直接换个新锁。

并且,在漏洞危急爆发后,Onity公司还淡定地表示:

所有更换都需要酒店自费,公司不会出一分钱。

 

这也太破费了,很多酒店表示不满。

为了避免开支,怀着侥幸心理的他们选择无动于衷。

Cody听到消息后气嚷嚷地大喊Onity这么做非常愚蠢,但也毫无办法。

 

这种情况下,只能相信人心了,

只要没有一个既懂技术,又很贪婪,道德又低劣的人出现,全球的酒店业不会受威胁。

然后…在那年夏天,这个人在万众的不安中出现了:

Aaron Cashatt

510-17Cashatt的人生是个典型的底层白人青年的生活。

他小时候很聪明,喜欢钻研科技技术,这大约是从他的NASA航天工程师的爷爷那里继承来的。

但Cashatt的父亲是个残暴的牧师,经常虐打家人。

‘他总是星期天向上帝祈祷,剩下一周的时间痛打我。’Cashatt的母亲在连线杂志的采访中说道,‘Aaron是唯一能保护我的人。’

510-11

Cashatt和母亲关系亲密,但14岁那年,父母离异,他被判给脾气暴躁的父亲,

和老爹住了3年后,他就受不了,搬出来和一个卖毒品的朋友住。

没多久,Cashatt染上了冰毒,

每天飘飘欲仙地混日子,游手好闲。人生,有毒就行….

19岁那年,他拿贩毒的朋友被发现在酒店一枪爆头,也许是被血腥场面刺激到了,‘从那以后,他就完全失控了。’母亲说。

511-2

在22岁那年,Cashatt第一次入狱,罪名是用激光打印机做假身份证。

之后,他因为携带毒品、酒驾,再次入狱。

政府为了禁止他酒驾,于是强制他在车上装一个测试酒精浓度的仪器,只有当Cashatt哈出的气不含高度酒精后汽车才能被发动。

结果Cashatt太爱喝酒了,他用电脑技术(他还是在服刑的时候上的电脑课)将汽车和仪器内部的设置调整,每个周末都酒驾,但仪器愣是测不出来。

 

Cashatt就这么一直逍遥着,直到某天晚上,

倒霉催的,满脸通红的他被路过的警察停下,一测验,又是酒驾。

 

在假释期犯罪,Cashatt被判入狱5个月,同时被控轻度酒驾。

不过出乎他意料的是,出狱后法院完全没有提轻度酒驾的事。

他感到‘非常感激,非常感动,觉得人生给了第二次机会’。

之后的10个月,Cashatt重新做人。他戒毒了,连烟也不抽,遵纪守法,还老老实实在一家高档墨西哥餐馆找了个服务员工作…..

 

但生活不是好莱坞电影,

10个月后的某天,Cashatt收到法院的传票…原来,法院不再判他轻度酒驾,而是重度,加上之前的罪行,要入狱6年半!

‘我当时就感觉自己被背叛了。’Cashatt痛苦地告诉连线杂志。

510-26

Cashatt想要疯狂地犯罪,干点大的,

不然对不起自己的入狱….

这时,电视里刚好传来Onity公司酒店锁的漏洞新闻,

Cashatt本来就爱好科技,他顺藤摸瓜找到Cody的网站,根据自己的电脑知识,成功捣鼓出一个开锁神器,长这样….

510-27

这个开锁神器藏在一个墨镜盒里,很小,

经过Cashatt的实验和调整,它成功开锁的几率在98%以上,远远高于Cody当初的成功率。

 

在2012年夏末,Cashatt第一次出手,

他选择凤凰城的万豪酒店。

他戴着帽子,低着头,避免自己的面容被监视器拍到。

然后走到一扇门前,确认里面没人后,他拿出插头,插入锁中…..

‘滴—’

‘我当时的感觉就像天堂的大门对我敞开。’Cashatt说。

房间里值钱的东西只有液晶电视,但他没有工具取不下来,不甘心空手而归的他就捎走了几块枕头和浴巾,之后从消防通道快速离开。

 

Cashatt越来越有经验,

他找到几个狐朋狗友,带着足够的工具,开始专门偷电视,之后是客人的行李。

从电脑、摄像机、高档大衣…到手枪、知名乐队的签名CD、飞行员驾驶证、摩托车头盔,他什么都偷。他偷过最有价值的东西之一是一个被袜子包裹着的百年灵手表,价值几千美元。

 

当然Cashatt也有运气不那么好的时候,

比如某次他在偷客人的东西,结果这时客人刚好开门回来,Cashatt瞬间从二楼阳台上跳下去;

还有一次,他在门口敲了半天门都没人应,心想里面肯定没人,结果打开门后却发现一个呼呼大睡的胖大叔;

最惊险的一次经历,是Cashatt和同伴正在房间偷东西的时候,结果一个男人从浴室里走出来…

双方都吓了一大跳,但Cashatt同伴很机灵,他马上热情地和男人打招呼,扑上去熊抱他。男人也不知道是不是洗澡洗懵了,他困惑地把两个小偷当做自己朋友邀请过来的人,三人开始愉快地聊天,甚至玩了一阵子,之后顺利离开….

 

这段时间,

Cashatt越来越有钱….

511-4

他雇了一名律师,为酒驾的案子打官司,拖延入狱时间,之后又争取到保释。

期间,Onity因为Cody的种种抗议,终于意识到事情的严重性,于是一家一家地和顾客联系,警告他们锁的漏洞,并宣布为酒店免费修补(免费的方法是….送廉价的塑料插头,用它们把锁上的DC插口堵上)。

猎物数量的变少让Cashatt很焦虑,甚至还患上抑郁症,

但他马上找到了解决方法:用一种叫T10 Torx的螺丝刀能撬开塑料插头,经过训练,整个过程不到20秒就能完成。

511-3

 

这样的日子对Cashatt来说,真是太畅快了....

可无论多强的偷盗老手,总有马失前蹄的时候。

 

在一次去哈瓦苏湖城的旅途上,Cashatt试图偷一个中年女子的车的车牌。

他是个很谨慎的人,为了避免警方追查,总是定期换车牌。

结果那块车牌扣了半天扣不下来,等女人回来的时候,他还蹲在地上。

女子惊叫着报警,Cashatt马上逃走了。

 

但百密一疏...

警方找到了他住的酒店,结果订酒店用的名字就是Cashatt的真名。

拿着他的名字,警察顺利找到他的脸书,结果发现里面的内容...全是Cashatt对朋友炫耀自己抢劫酒店的战绩!

 

‘对,没错,偷酒店真的会上瘾!!!’他写道,‘你的肾上腺素会疯狂飙升!!!’

‘完工后你TM还能有一堆好玩意儿!!!’

 

到这时,苦苦寻找他5年的警方,才知道原来Cashatt就是那个酒店幽灵大盗!

 

功夫不负有心人,最后,警察在Cashatt的兄弟家找到了他,

逃跑中的Cashatt被一条德国牧羊犬成功截下。

(他们说你逃跑时打了一条狗?连线记者问。

‘不,我没有!’他愤愤道。)

 

至此,酒店幽灵大盗的故事终于结束了....

Cashatt要坐9年牢,

他说自己非常悔恨,但同时,他也对自己的战绩非常骄傲:‘没人能在Onity的事件上做到我这种程度!’

他也提到Onity对这件事的漠视:

‘他们就是不关心。我敢打包票,如果你去美国中西部住酒店,20家中有19家都能用我的方法打开。’

 

他说的也许没错。

在今年,采访完Cashatt后,连线杂志记者Andy Greenberg做出了自己的开锁神器,花了800美元在不同的酒店测试...

511-6

511-5

在一家大众的廉价酒店里,他插入DC插口,脸上电池....

 

‘滴—’

绿灯瞬亮,

门开了。

 

 

ref:

https://www.wired.com/2017/08/the-hotel-hacker/

https://www.forbes.com/sites/andygreenberg/2012/07/23/hacker-will-expose-potential-security-flaw-in-more-than-four-million-hotel-room-keycard-locks/#6b586b5eb85f

https://www.forbes.com/sites/andygreenberg/2012/10/02/hackers-crack-hotel-room-locks-with-a-tool-disguised-as-a-dry-erase-marker/#7100dd4c7d5a

https://www.forbes.com/sites/andygreenberg/2012/08/28/videos-show-hackers-reproducing-and-refining-hotel-lock-trick-that-opens-millions-of-rooms/#6640de425a5a