Czy hotelowe zamki na kartę RFID są bezpieczne? Okazuje się, że niekoniecznie. Hakerzy wykryli poważne zagrożenie w popularnych zamkach marki Saflok, produkowanych przez szwajcarską firmę Dormakaba. Hotele jednak nieco ospale aktualizują oprogramowanie, przez co poprawki nie docierają do urządzeń zabezpieczających nasze hotelowe drzwi. Jest jednak sposób, aby sprawdzić czy jesteśmy bezpieczni.
Metoda otwarcia zamków hotelowych
Żyjemy w czasach, gdy zabezpieczenia domów w postaci kilku zamków (również inteligentnych), kamer monitoringu czy alarmów, w żadnym stopniu nas nie dziwią. Troszczymy się o swoje mienie, budynek i jego zawartość, a także garaże czy ogród. Przychodzi jednak czas wakacji albo wyjazdu służbowego, w recepcji otrzymujemy kartę do otwarcia drzwi, jednak czy powinniśmy czuć się bezpieczni? Okazuje się, że jeden z popularnych producentów hotelowych zamków ma problemy i to niemałe. Grupa hakerów znalazła dość prostą metodę na otwarcie zamków marki Saflok, należącej do szwajcarskiego Dormakaba.
Jak wynika z informacji, z usług tej firmy korzysta ponad 3 miliony hoteli oraz 13 tysięcy nieruchomości. Tego typu „zabezpieczenie” możemy spotkać w aż 131 krajach. Intruz jest w stanie użyć opracowanej techniki hakowania i za pomocą kilku kliknięć może otworzyć dowolne drzwi. Okazuje się, że podstawowy system RFID MIFARE Classic oraz szyfrowanie marki Dormakaba ma sporo słabości, które umożliwiły niejakiemu Carrollowi i Woutersowi w prosty sposób pokonać zamknięty zamek.
Jak chronić się przed hakerami?
Sposobem hakerów jest zdobycie dowolnej karty RFID, przeznaczonej dla danego hotelu – w tym celu wystarczy się oczywiście zameldować. Kod z hotelowego „klucza” należy wczytać oraz odczytać za pomocą urządzenia, którego koszt wynosi około 300 dolarów (około 1200 złotych). Intruz może potem opracować drugą, własną kartę lub użyć do tego smarfona z modułem NFC. W momencie przyłożenia obu kluczy zamek otwiera się.
Firma Dormakaba otrzymała informacje na temat luk w zabezpieczeniach i przekazała informacje do hoteli, aby naprawić lub wymienić zamki. W przypadku sporej części urządzeń, zamontowanych w ciągu ostatnich ośmiu lat, wystarczy zadbać o regularne uruchamianie aktualizacji oprogramowania lub zmienić system zarządzania kartami oraz przeprogramować zamki. Okazuje się jednak, że w ciągu ostatniego miesiąca tylko 36% zamków zostało zaktualizowanych. Firma twierdzi, że w obecnej sytuacji wprowadzenie wszystkich poprawek może potrwać nawet kilka miesięcy.
Jak twierdzą twórczy hakerzy, goście hotelowi mogą sprawdzić czy Saflok w ich drzwiach został zaktualizowany. Wystarczy zaopatrzyć swój smartfon z NFC w aplikację „NFC Taginfo”. Pozwala ona odczytać informacje oraz dane na temat karty. Jeśli aplikacja wskaże system „MIFARE Classic” najprawdopodobniej hotelowe zamki nadal nie otrzymały istotnych poprawek chroniących przed niekontrolowanym wejściem.