经过数千小时的工作后，F-Secure的研究人员Tomi Tuominen和Timo Hirvonen成功构建了一把万能钥匙，该钥匙可用于打开车门，使用VingCard数字锁定技术Vision进入任何酒店客房，无需留下痕迹在系统上。

黑客如何构建“主密钥”

要创建一个访问由Vision系统保护的房间的主密钥，第一个要求是获得一个电子钥匙卡 - 任何现有的，旧的或过期的电子钥匙卡到目标设施中的任何房间都可以完成工作。

要获得电子密钥（RFID或磁条），攻击者可以通过站在靠近酒店客人或在其口袋中有钥匙卡的员工旁边远程读取数据，或者只需预订一个房间，然后将该卡用作源。

然后攻击者需要在线购买一台便携式程序员几百美元来覆盖它，因此在几分钟内创建一个主密钥。

然而，F-Secure表示，它使用了自己定制的软件，使得这种特殊的黑客成为可能，而且出于显而易见的原因，研究人员将不会公布它。
然后，定制设备（实际上是RFID读写器）被保持靠近目标锁，该目标锁在少于一分钟内尝试不同的按键并且定位主钥匙并且解锁门。
现在，您可以使用此定制设备作为主密钥打开设施中的任何门，或将主密钥写回钥匙卡。完成后，您现在可以使用主密钥访问酒店的任何房间。

Tuominen在周三发表的一篇博客文章中表示：“你可以想象恶意的人可以凭借进入任何酒店房间的权力做些什么，并且基本上凭空创建了主密钥。“我们现在还不知道其他人在野外进行这种特殊攻击。”

研究人员还提供了一个视频演示，展示了黑客的行动。
研究人员在2017年4月向Assa Abloy汇报了他们的发现，而去年，两人一起合作开发了一个解决方案，其中包括整个密钥空间的有效随机化。

Assa Abloy于2018年2月发布了针对其系统的软件修复程序，并且更新已提供给受影响的设施。

“我想亲自感谢Assa Abloy研发团队在纠正这些问题方面的出色合作，”Tuominen说。“由于他们勤奋和乐于解决我们研究中发现的问题，酒店业现在是一个更安全的地方，我们敦促任何使用此软件的企业尽快应用此更新。”

F-Secure尚未发布黑客的完整技术细节。此外，没有证据表明黑客已经在野外被利用，但对酒店的网络攻击并不令人意外。

大约一年前，我们看到黑客在勒索软件袭击酒店的IT系统，将数百名客人锁在房间后，迫使奥地利的一家豪华酒店支付比特币的赎金。