Ręka otwierająca metalowe drzwi z elektronicznym zamkiem do jasnego pokoju hotelowego.
LINKI AFILIACYJNE
Tech

Do hotelowych pokoi z nowoczesnym zamkami można bez problemu się włamać. Wystarczy telefon z Androidem

3 minuty czytania
Komentarze

Etycznie hakerzy pokazują, jak w prosty sposób można zmodyfikować każdy telefon z Androidem i NFC, aby sfałszować klucz główny (tj. master key) do każdego pokoju w hotelu. Dotyczy to ponad 3 milionów zamków do pokoi hotelowych w 13 000 budynkach w 131 krajach. Lukę, która pozwala atakującemu odblokować wszystkie pokoje w hotelu za pomocą jednej pary sfałszowanych kart dostępu, wykryto bowiem w zabezpieczeniach elektronicznych zamków RFID Saflok firmy dormakaba, które są popularnym rozwiązaniem w hotelach na całym świecie. 

Sprawdź, jak lepiej możesz chronić swoje dane
Dwie osoby wymieniają się kartą płatniczą przy hotelowej recepcji, na pierwszym planie widać papierową dokumentację i portfel.
Fot. Mikhail Nilov / Pexels.com

Co jest potrzebne do włamania do hotelowych pokoi?

Agresor musi odczytać tylko jedną kartę dostępu, aby przeprowadzić atak na dowolny zamek. Karta ta może być aktywna, tj. do własnego pokoju, ale zadziała także karta, która już wygasła.

Sfałszowane klucze można następnie utworzyć przy użyciu dowolnej karty MIFARE Classic i narzędzia umożliwiającego zapisywanie danych na zbliżeniowych kluczach. Tak przygotowane narzędzie umożliwia atakującemu otwarcie dowolnych drzwi w hotelu czy budynku wielorodzinnym. Czyli wytwarza klucz główny, uniwersalny, tzw. master key.

Klamka do drzwi z zamkiem na kartę zbliżeniową w stalowym wykończeniu na białym tle.
Elektroniczny zamek drzwiowy z klawiaturą i klamką na szarym tle.
Modele zamków, które są wrażliwe na wykrytą lukę. Fot. unsaflok.com / zrzut ekranu

Atak ten można również przeprowadzić przy użyciu dowolnego urządzenia zdolnego do odczytu i zapisu lub emulacji kart MIFARE Classic. Obejmuje to narzędzia takie jak Proxmark3 i Flipper Zero, ale także telefony z Androidem obsługującym technologię NFC.

Jakich zamków dotyczy opisana luka?

Luka dotyczy ponad 3 milionów drzwi w ponad 13 000 nieruchomości w 131 krajach. Dotyczy to wszystkich zamków korzystających z systemu Saflok, w tym (ale nie wyłącznie) Saflok MT, serii Quantum, serii RT, serii Saffire i serii Confidant.  Są one stosowane głównie w hotelach, w których oprogramowanie zarządzające to System 6000 lub Ambiance, ale też w budynkach wielorodzinnych, korzystających z Systemu 6000 lub Community. Warto dodać, że dormakaba rozpoczęła sprzedaż zamków Saflok w 1988 roku.

Oświadczenie firmy dormakaba

Firma odpowiedzialna za podatne na sfałszowanie zamki wystosowała oświadczenie. Wskazała, że zaczęto wdrażać poprawki usuwające lukę w zabezpieczeniach, związaną zarówno z algorytmem wyprowadzania klucza używanym do generowania kluczy MIFARE Classic, jak i dodatkowym algorytmem szyfrowania używanym do zabezpieczania danych karty podstawowej. Luka ta dotyczy systemów Saflok (System 6000, Ambiance i Community).

Mężczyzna wchodzi do pokoju hotelowego, otwierając drzwi za pomocą elektronicznego zamka, z torbą na ramię i walizką w ręku.
Fot. dormakaba / zrzut ekranu

Firma dodała też, że nie jest świadoma żadnych zgłoszonych przypadków wykorzystania tej luki, mimo to zaleca, aby wszyscy klienci, którzy nie dokonali jeszcze zaplanowanych aktualizacji zabezpieczeń, jak najszybciej się tym zajęli. Według strony Unsaflok, w marcu 2024 roku około 36% zamków, których dotyczy problem, zostało zaktualizowanych lub wymienionych.

Sprawdź, jak lepiej możesz chronić swoje dane na smartfonie

Źródło: TechSpot, Unsaflok,dormakaba. Zdjęcie otwierające: Pixabay / Pexels.com

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw