Хакеры обнаружили уязвимость в безопасности широко используемой системы электронных ключей (карт). Злоумышленникам нужен доступ только к одной карте, чтобы сгенерировать мастер-ключ для всех замков в здании. Затронута система Saflok от Dormakaba, которая в основном используется в гостиницах. Сообщается, что уязвимость затронула 3 миллиона дверей в 16 000 зданий. На это обращает внимание портал Techspot.
Дверь гостиничного номера. Изображение: Pexels Для взлома достаточно доступа к карте с истекшим сроком действия. В отелях ее можно украсть из кассы самообслуживания. Для проведения атаки необходимо устройство, способное имитировать карты Mifare Classic. Это может быть Pinball Zero, но подойдет и телефон Android с поддержкой NFC.
Хакеры отмечают, что другие системы, кроме Saflok, не затронуты багом, даже если они используют карты Mifare Classic. Тем не менее использование этих NFC-карт в зонах, чувствительных к безопасности, не рекомендуется. Большинство систем запирания гостиничных номеров оборудованы таким образом, что дверной замок можно открыть с помощью карты.
Хакеры обнаружили уязвимость в 2022 году и сообщили об этом поставщику соответствующих продуктов Dormakaba. С тех пор был разработан патч, но на данный момент обновлены или заменены только 36% замков. Внешне нельзя понять, уязвим ли конкретный замок для атаки или нет.
Однако если речь идет о системе Saflok с NFC-картами Mifare Ultralight C, то она, скорее всего, была модернизирована и больше не уязвима для атаки. Чтобы проверить тип NFC-карты, можно использовать приложение NXP NFC Taginfo, доступное для Android и iOS.
Хакеры пока не опубликовали никаких подробностей о методе взлома. Также нет доказательств, что уязвимость используется на практике преступниками. В заявлении для портала Techspot компания Dormakaba объясняет, что работает с клиентами, чтобы устранить этот баг.