Elektroniczne zamki RFID "na kartę" są jednym z przykładów, jak w hotelach implementuje się nowoczesne rozwiązania mają poprawić komfort i bezpieczeństwo gości - w razie zgubienia lub uszkodzenia karty można szybko otrzymać nową. Nie brakuje jednak przeciwników takich rozwiązań, którzy martwią się o bezpieczeństwo takich rozwiązań: niestety pojawił się kolejny przykład na to, że mają oni niemało racji.
Ponad trzy miliony zamków do pokoi hotelowych w 13 000 hotelach rozlokowanych w 131 krajach, okazało się podatne na exploita, który umożliwia atakującym spreparowanie kart do dowolnych drzwi. Hotele są miejscami, gdzie goście powinni czuć się spokojni i o siebie i o swoje rzeczy - tym bardziej jest to szokująca informacja
Winę za zamieszanie ponosi luka w zabezpieczeniach elektronicznych zamków RFID Saflok firmy Dormakaba, które są szeroko stosowane w hotelarstwie. Hotele, w których używa się właśnie takich zamków mają teraz niemały ból głowy. Lukę można wykorzystać do sklonowania karty i uzyskania dostępu do dowolnego pokoju. Istnieje obawa, że hakerzy już wykorzystują tego exploita, choć brak konkretnych dowodów na ten temat.
Exploit dotyczy wielu popularnych modeli zamków Saflok od Dormakaba, w tym Saflok MT, Quantum Series, RT Series, Saffire Series, Confidant Series oraz innych. To spowodowało, że właściwa cała linia modelowa jest podatna na potencjalne ataki. Wykorzystanie exploita wymaga oryginalnej karty MIFARE Classic oraz urządzenia zdolnego do zapisywania danych na karcie - to nie jest szczególnie skomplikowana sprawa dla doświadczonych hakerów. Jedna odpowiednio spreparowana karta może działać jak "master key" (klucz główny otwierający każde drzwi z zamkiem elektronicznym).
Producent zamków - firma Dormakaba - podjęła działania w celu opracowania poprawek zabezpieczeń. Niestety, do tej pory tylko w tylko 36 procentach zamków wdrożono poprawki lub je wymieniono - istnieje więc znaczna liczba hoteli, które nadal pozostają narażone na atak. Proces aktualizacji lub wymiany zamków, oprogramowania zarządzającego oraz kart jest natomiast trudny i czasochłonny: nie opiera się to na "rozesłaniu" aktualizacji, jak ma to miejsce w przypadku komputerów i smartfonów. Konieczna jest ingerencja serwisantów, a to wymaga i czasu i oddelegowania wykwalifikowanych osób przez producenta.
Eksperci ds. bezpieczeństwa zwracają uwagę na to, że w tym przypadku istotne jest edukowanie personelu hotelowego oraz użytkowników takich obiektów na temat zagrożenia. Jeżeli korzystacie z hoteli, możecie zainstalować na telefonie aplikację NXP NFC Taginfo, aby sprawdzić, czy karta kluczowa używana w danym hotelu jest bezpieczna. Personel hotelowy natomiast musi być czujny i zwracać uwagę na podejrzane zachowania osób odwiedzających obiekt.
Karty hotelowe miały być rozwiązaniem wspomagającym wygodę - wygląda na to, że w tym konkretnym przypadku idzie to w parze także z niebezpieczeństwem dla gości i dla samych hoteli. Skoro już yżywa się tego typu sprzętów, dobrze by było również zadbać o to, by proces ich "łatania" był prosty. Tego w przypadku zamków Saflok zdecydowanie zabrakło.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
