Исследователи безопасности нашли относительно простой и дешевый способ клонировать карты-ключи, используемые на трех миллионах электронных RFID-замков Saflok в 13 000 отелей и домов по всему миру.
Производитель карт-ключей и замков Dormakaba был уведомлен, и в настоящее время он работает над заменой уязвимого оборудования, но это долгий и утомительный процесс, который еще не завершен.
Хотя впервые они были обнаружены еще в 2022 году, исследователи раскрыли дополнительную информацию о недостатках, получивших название «Унсафлок», чтобы повысить осведомленность.
Дешевое клонирование карт
Уязвимости были обнаружены на частном хакерском мероприятии, организованном в Лас-Вегасе, где различные исследовательские группы соревновались в поиске уязвимостей в гостиничном номере и на всех устройствах внутри. Команда, состоящая из Леннерта Воутерса, Яна Кэрролла, rqu, BusesCanFly, Сэма Карри, Shell и Уилла Каруаны, сосредоточила свое внимание на электронных замках Dormakaba Saflok для гостиничных номеров. Вскоре они обнаружили два недостатка, которые, будучи соединены вместе, позволили им открывать двери с помощью специально изготовленной карты-ключа.
Во-первых, им нужен был доступ к любой карте из помещения. Это может быть карточка в их собственную комнату. Затем они провели реверс-инжиниринг программного обеспечения стойки регистрации Dormakaba и устройства программирования замков, что позволило им подделать работающий мастер-ключ, который может открыть любую комнату в отеле. Наконец, чтобы клонировать карты, им нужно было взломать функцию получения ключей Дормакабы.
Для подделки карт-ключей команда использовала карту MIFARE Classic, коммерческий инструмент для записи карт и телефон Android с возможностями NFC. Было сказано, что все это стоит всего несколько сотен долларов.
С помощью специально созданной карты-ключа команда сможет получить доступ к более чем трем миллионам замков, установленных в 13 000 отелей и домов по всему миру.
После публикации результатов Дормакаба опубликовал заявление для средств массовой информации, в котором говорится, что уязвимость затрагивает системы Saflok System 6000, Ambiance и Community. Он добавил, что нет никаких доказательств того, что эти недостатки когда-либо использовались в реальных условиях.
С помощью ПипКомпьютер
Больше от TechRadar Pro
2024-03-22 18:39:24
1711133557
#Эта #уязвимость #безопасности #может #позволить #хакерам #открывать #двери #отелей #по #всему #миру #похищая #картыключи