DAJ CYNK

Poważna wada zamków w hotelach. By się włamać, wystarczy smartfon

Damian Jaroszewski (NeR1o)

Bezpieczeństwo

Można łatwo włamać się hoteli na całym świecie. Wystarczy smartfon

Zamki wykorzystywane w tysiącach hoteli na całym świecie są podatne na bardzo prosty atak. Z łatwością można wejść do dowolnego pokoju. Wystarczy smartfon.

Dalsza część tekstu pod wideo
 

Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell oraz Will Caruana to eksperci ds. bezpieczeństwa, który odkryli bardzo groźną lukę w zamkach Dormakaba Saflok. Te są wykorzystywane w hotelach na całym świecie i aktualnie pozwalają wejść praktycznie do każdego pokoju.

Jak włamać się do hotelu?

Eksperci nazwali to zagrożenie Unsaflok. Nie jest ono nawet specjalnie skomplikowane. Do jego przeprowadzenia potrzeba jest dowolna karta do otwarcia pokoju, może być nawet przeterminowana. 

Atakujący musi odczytać tylko jedną kartę z obiektu, aby przeprowadzić atak na dowolne drzwi w hotelu. Ta karta może pochodzić z ich własnego pokoju, a nawet z wygasłej karty pobranej z kasy ekspresowej

- stwierdzili naukowcy.

Podrobiona karta może zostać stworzona na innej karcie MIFARE Classic, urządzenia pokroju Flipper Zero lub Proxmark3, a nawet smartfonie z Androidem i NFC. Atak można przeprowadzić na zamkach Saflok MT, Quantum, RT, Saffire oraz Confidant, które wykorzystywane są w mniej więcej 13 tys. hoteli w 131 państwach na świecie.

Atak polega na odczytaniu określonego kodu z karty i utworzeniu pary fałszywych kart-kluczy — jednej do przeprogramowania danych na zamku, a drugiej do otwarcia go poprzez złamanie systemu szyfrowania Key Derivation Function (KDF) Dormakaba. W kolejnym kroku, dzięki inżynierii wstecznej, możliwe jest nawet stworzenie tzw. master key, którym można otworzyć dowolny pokój w danym obiekcie.

Na razie nie są znane żadne przypadki wykorzystania tej metody, ale nie można wykluczyć, że ktoś już wcześniej na to wpadł.

Zobacz: Przeklęty SMS. Jeśli go dostaniesz, tylko jedna reakcja jest OK
Zobacz: Numery na słupach w Warszawie. Nie tylko mieszkańcy powinni o nich wiedzieć

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Envato

Źródło tekstu: The Hacker News