Una significativa vulnerabilità di sicurezza, soprannominata "Unsaflok," è stata identificata nei lucchetti elettronici RFID Saflok di Dormakaba, utilizzati in milioni di camere d'albergo in tutto il mondo. Questo difetto è stato scoperto da un gruppo di ricercatori, tra cui Lennert Wouters, Ian Carroll e altri, che hanno trovato che potrebbe potenzialmente permettere a individui non autorizzati di accedere a qualsiasi stanza assicurata da questi lucchetti sfruttando una serie di debolezze di sicurezza.
Il nocciolo della vulnerabilità Unsaflok risiede nella capacità degli aggressori di forgiare una coppia di keycard dopo aver effettuato l'ingegneria inversa del software di Dormakaba e di un dispositivo di programmazione dei lucchetti. Con solo una keycard dell'hotel—potenzialmente anche la propria—gli aggressori possono decifrare la crittografia di Dormakaba e simulare una chiave maestra che sblocca qualsiasi stanza della proprietà. Il processo di attacco coinvolge la creazione di keycard falsificate utilizzando strumenti commercialmente disponibili e carte MIFARE Classic, che vengono poi utilizzate per riscrivere i dati del lucchetto e sbloccare la porta.
Dormakaba è stata informata di queste vulnerabilità nel novembre 2022 e, da allora, l'azienda ha lavorato per affrontare il rischio di sicurezza aggiornando o sostituendo i lucchetti vulnerabili. Sebbene non tutti i sistemi venduti negli ultimi otto anni richiedano sostituzioni hardware, molti necessitano di aggiornamenti o riprogrammazioni, un processo che coinvolge sia il sistema di gestione della reception che la programmazione individuale dei lucchetti, porta per porta.
A marzo 2024, una parte significativa dei lucchetti rimane vulnerabile, con Dormakaba che lavora attivamente per mitigare il problema. L'ampio impatto delle falle Unsaflok ha sollevato preoccupazioni per la sicurezza degli hotel in tutto il mondo, poiché questi lucchetti sono utilizzati in circa 13.000 proprietà in 131 paesi. Per contrastare ciò, il team di ricerca ha trattenuto alcuni dettagli tecnici per consentire il tempo per gli aggiornamenti e le mitigazioni da implementare efficacemente.
Gli ospiti e il personale dell'hotel possono rilevare tentativi di accesso non autorizzato auditando i registri di entrata/uscita del lucchetto, sebbene ciò potrebbe non riflettere sempre con precisione tutte le istanze di sfruttamento. Gli ospiti possono anche utilizzare l'app NFC Taginfo per controllare la loro keycard per vulnerabilità, cercando specificamente le carte MIFARE Classic che indicano lucchetti suscettibili (Security Affairs).
Questa rivelazione sottolinea la sfida continua nel mantenere la sicurezza in un mondo sempre più digitale, evidenziando l'importanza di pratiche di sicurezza robuste e la necessità di una vigilanza continua contro le potenziali vulnerabilità.
コメント