Hakerzy mogą wejść do każdego pokoju hotelowego. Wystarczy kilka sekund
Często zapominamy, że cyberzagrożenia często przekładają się na bezpośrednie zagrożenie fizyczne. Dawno już minęły czasy, kiedy największym problemem spowodowanym przez hakerów mogło być włamanie na konto bankowe. Przykład może stanowić podatność w bardzo popularnych w branżach hotelarskich zamkach, którą właśnie ujawniono. Szacuje się, że korzysta z nich 3 mln hoteli w 131 państwach świata.
Niebezpieczne zamki Saflok
Grupa analityków przedstawiła argumenty przekonujące, że udało im się z użyciem ogólnodostępnych zasobów zbudować mechanizm otwierający określone modele zamków Saflok. Podobne wpadki zdarzają się często, jednak w tej historii największa jest skala. Dzięki mechanizmowi eksploatacji podatności zamków Saflok nazwanej Unsaflok można zhakować ponad 3 mln zamków hotelowych na całym świecie.
Podatność jest tak niebezpieczna, że zespół stojący za odkryciem Unsaflok zdecydował się na publikacje zaledwie części informacji, które nie pozwalają na odtworzenie ataku. Choć pierwotnie niebezpieczeństwo zostało zgłoszone producentowi zamków już we wrześniu 2022 r., to nadal zrobił on niewiele, by wyeliminować zagrożenie. Dlatego grupa odpowiedzialna za Unslaflok zdecydowała podzielić się okryciem z całym światem.
Umawiają się na rozmowy kwalifikacyjne, a te się nie odbywają. O co chodzi?Tylko 36 proc. zamków załatanych
Na razie wiemy tyle, że zamki hotelowe można otwierać z użyciem otrzymanej katy, komputer i drugiej karty, a nawet z użyciem części smartfonów wyposażonych w określone modele modułów NFC. Prezentacje pokazują, że wystarczy pozyskanie prawdziwej karty, zgranie kopii danych na komputer, tam najpewniej dokonania zmian i nagrania nowych danych na nową kartę lub wybrane smartfony i urządzenia z NFC.
Tak zmanipulowana karta pozwoli otworzyć drzwi do dowolnego pokoju w hotelu. Producent zamków zaczął aktualizować zamki w celu wyeliminowania podatności, jednak cierpliwość osób, które odnalazły podatność, wyczerpała się, gdy po dwóch latach od zgłoszenia zaledwie 36 proc. zamków zostało zaktualizowanych. Dlatego zdecydowali się opublikować komunikat o swoim odkryciu. Nie ujawnili rzecz jasna kluczowych danych – oprogramowania i mechanizmu manipulacji danymi kart, który pozwala, by stworzyć uniwersalną.
Element wywierania presji
Publikacja informacji o podatności zamków Saflok ma więc stanowić element wywierania presji na producencie i branży hotelarskiej. Wszyscy, którzy zamierzają skorzystać z jej usług, mogą zapytać, czy hotel korzysta z zamków tego producenta oraz, czy w użyciu jest karta MIFARE Classic. Jeśli tak, to należy przyjąć do wiadomości, że dzięki podatności Unsaflok drzwi do ich pokoju można otworzyć nawet smartfonem NFC czy urządzeniami klasy Proxmark3, czy popularnego ostatniego Flipper Zero.