Gli hacker possono sbloccare 3 milioni di porte d'hotel in 131 paesi

I ricercatori di sicurezza hanno scoperto vulnerabilità nella linea di serrature elettroniche RFID Saflok di Dormakaba, che potrebbero consentire a un attaccante di accedere a camere d’hotel e porte di unità abitative multifamiliari in pochi secondi utilizzando un singolo paio di chiavi falsificate.

La serie di vulnerabilità, soprannominata “Unsaflok”, è stata scoperta dai ricercatori Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell e Will Caruana nel settembre 2022 e divulgata nel marzo 2024, come riportato per primo da Wired.

Unsaflok colpisce oltre 3 milioni di porte in oltre 13.000 proprietà in 131 paesi.

Tutte le serrature che utilizzano il sistema Saflok sono interessate, comprese (ma non limitate a) la serie di serrature Saflok – Saflok MT, la serie Quantum, la serie RT, la serie Saffire e la serie Confidant, che sono utilizzate in combinazione con il software di gestione System 6000, Ambiance e Community.

Dormakaba, il produttore di chiavi e serrature, è stato informato e ha già iniziato a lavorare a una soluzione.

Ha iniziato ad aggiornare gli hotel nel novembre 2023. A partire da marzo 2024, circa il 36% delle serrature interessate è stato aggiornato o sostituito.

Tuttavia, i ricercatori affermano che è impossibile capire visivamente se una serratura è stata aggiornata per risolvere queste vulnerabilità.

“L’aggiornamento di ogni hotel è un processo intensivo. Tutte le serrature richiedono un aggiornamento software o devono essere sostituite. Inoltre, tutte le chiavi devono essere riemesse, il software della reception e i codificatori di chiavi devono essere aggiornati e le integrazioni di terze parti,” spiegano i ricercatori.

“Un attaccante ha solo bisogno di leggere una chiave della proprietà per eseguire l’attacco contro qualsiasi porta nella proprietà. Questa chiave può provenire dalla propria camera, o anche da una chiave scaduta presa dalla cassetta di raccolta del check-out veloce,” hanno scritto i ricercatori sul loro sito web.

“Le chiavi falsificate possono quindi essere create utilizzando qualsiasi carta MIFARE Classic e qualsiasi strumento commerciale in grado di scrivere dati su queste carte. Un paio di chiavi falsificate consente a un attaccante di aprire qualsiasi porta nella proprietà.”

Questo attacco può essere eseguito da qualsiasi dispositivo in grado di leggere, scrivere o emulare carte MIFARE Classic, inclusi Proxmark3 e Flipper Zero e uno smartphone Android compatibile con NFC.

Attualmente, i ricercatori hanno divulgato solo informazioni limitate sulla vulnerabilità Unsaflok a causa del suo potenziale impatto su hotel e ospiti.

Intendono condividere ulteriori dettagli tecnici sulla vulnerabilità in futuro, poiché vogliono dare a numerose proprietà abbastanza tempo per aggiornare i loro sistemi.

Dormakaba ha iniziato a vendere serrature Saflok nel 1988, il che significa che sono disponibili commercialmente da oltre 36 anni. I ricercatori affermano di non essere a conoscenza di attacchi nel mondo reale che sfruttano questa vulnerabilità.

“Il 21 marzo 2024, dormakaba ha pubblicato informazioni riguardanti una vulnerabilità di sicurezza associata sia all’algoritmo di derivazione delle chiavi utilizzato per generare chiavi MIFARE Classic® sia all’algoritmo di crittografia secondario utilizzato per proteggere i dati della carta sottostante. Questa vulnerabilità colpisce i sistemi Saflok (System 6000™, Ambiance™ e Community™),” ha dichiarato Dormakaba in una nota a BleepingComputer.

“Non appena siamo stati informati della vulnerabilità da un gruppo di ricercatori di sicurezza esterni, abbiamo avviato un’indagine completa, dando priorità allo sviluppo e al lancio di una soluzione di mitigazione, e abbiamo lavorato per comunicare sistematicamente con i clienti. Non siamo a conoscenza di alcun caso segnalato di sfruttamento di questo problema fino ad oggi.

“Secondo i principi della divulgazione responsabile, stiamo collaborando con i ricercatori per fornire un avviso più ampio per evidenziare come i rischi esistenti con la tecnologia RFID legacy stiano evolvendo, affinché altri possano adottare misure precauzionali.”