해커가 131개국에서 300만 개 호텔 문을 잠금 해제할 수 있다

보안 연구원들은 Dormakaba의 Saflok 전자 RFID 잠금 장치에서 취약점을 발견했으며, 이를 통해 공격자가 단 하나의 위조된 키카드를 사용하여 몇 초 만에 호텔 객실 및 다세대 주택 문에 접근할 수 있게 될 수 있습니다.

이 일련의 취약점은 “Unsaflok”이라고 불리며, 연구원인 Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell, Will Caruana에 의해 2022년 9월에 발견되었고, 2024년 3월에 공개되었습니다. 이는 Wired에서 처음 보도되었습니다.

Unsaflok은 131개국의 13,000개 이상의 시설에서 300만 개 이상의 문에 영향을 미칩니다.

Saflok 시스템을 사용하는 모든 잠금 장치가 영향을 받으며, 여기에는 Saflok 잠금 시리즈 – Saflok MT, Quantum 시리즈, RT 시리즈, Saffire 시리즈 및 Confidant 시리즈가 포함됩니다. 이들은 System 6000, Ambiance 및 Community 관리 소프트웨어와 함께 사용됩니다.

키카드 및 잠금 장치 제조업체인 Dormakaba는 통보를 받았으며 이미 수정 작업을 시작했습니다.

2023년 11월부터 호텔 업그레이드를 시작했습니다. 2024년 3월 현재, 영향을 받은 잠금 장치의 약 36%가 업데이트되거나 교체되었습니다.

그러나 연구원들은 잠금 장치가 이러한 취약점을 수정하기 위해 업데이트되었는지 시각적으로 확인하는 것은 불가능하다고 말합니다.

“각 호텔을 업그레이드하는 것은 집중적인 과정입니다. 모든 잠금 장치는 소프트웨어 업데이트가 필요하거나 교체해야 합니다. 또한 모든 키카드를 재발급해야 하며, 프런트 데스크 소프트웨어와 카드 인코더를 업그레이드해야 하고, 제3자 통합도 필요합니다.”라고 연구원들은 설명합니다.

“공격자는 해당 시설의 어떤 문에 대해서도 공격을 수행하기 위해 단 하나의 키카드를 읽기만 하면 됩니다. 이 키카드는 자신의 방에서 가져온 것이거나, 심지어 익스프레스 체크아웃 수거함에서 가져온 만료된 키카드일 수 있습니다.”라고 연구원들은 웹사이트에 썼습니다.

“위조된 키카드는 모든 MIFARE Classic 카드와 이러한 카드에 데이터를 쓸 수 있는 상용 도구를 사용하여 생성할 수 있습니다. 한 쌍의 위조된 키카드는 공격자가 해당 시설의 어떤 문이든 열 수 있게 해줍니다.”

이 공격은 MIFARE Classic 카드를 읽고 쓰거나 에뮬레이션할 수 있는 모든 장치에서 수행할 수 있으며, 여기에는 Proxmark3, Flipper Zero 및 NFC 기능이 있는 Android 스마트폰이 포함됩니다.

현재 연구원들은 호텔과 손님에 미칠 수 있는 잠재적 영향으로 인해 Unsaflok 취약점에 대한 제한된 정보만 공개했습니다.

그들은 시스템을 업그레이드할 충분한 시간을 제공하기 위해 향후 취약점에 대한 추가 기술 세부정보를 공유할 계획입니다.

Dormakaba는 1988년에 Saflok 잠금을 판매하기 시작했으며, 이는 36년 이상 상용화된 것입니다. 연구원들은 이 취약점을 악용한 실제 공격에 대해서는 알지 못한다고 말합니다.

“2024년 3월 21일, dormakaba는 MIFARE Classic® 키를 생성하는 데 사용되는 키 파생 알고리즘과 기본 카드 데이터를 보호하는 데 사용되는 보조 암호화 알고리즘과 관련된 보안 취약점에 대한 정보를 발표했습니다. 이 취약점은 Saflok 시스템(System 6000™, Ambiance™, Community™)에 영향을 미칩니다.”라고 Dormakaba는 BleepingComputer에 보도자료를 통해 밝혔습니다.

“우리는 외부 보안 연구원 그룹으로부터 취약점에 대한 정보를 받자마자 포괄적인 조사를 시작하고, 완화 솔루션 개발 및 배포를 우선시하며, 고객과 체계적으로 소통하기 위해 노력했습니다. 현재까지 이 문제가 악용된 사례에 대해서는 보고된 바가 없습니다.

“책임 있는 공개 원칙에 따라, 우리는 연구원들과 협력하여 기존 RFID 기술의 위험이 어떻게 진화하고 있는지를 강조하는 더 넓은 경고를 제공하여 다른 사람들이 예방 조치를 취할 수 있도록 하고 있습니다.