Badacze bezpieczeństwa ujawnili lukę w trzech milionach zamków Dormakaba Saflok RFID używanych w hotelach i domach w 131 krajach

Grupa badaczy bezpieczeństwa ujawniła na stronie lukę w zabezpieczeniach w trzech milionach zamków Dormakaba Saflok RFID, którą po raz pierwszy odkryli w 2022 roku i zgłosili firmie Dormakaba. Luka ta dotyczy zamków używanych w hotelach i domach w 131 krajach, a Dormakaba naprawiła tylko 36% zamków, aby zapobiec nielegalnemu wejściu.

Podatne na ataki zamki do drzwi obejmują serię Confidant seria Quantum Saffire Saflok MT i Saflok RT seria. Oprogramowanie do zarządzania, w tym Ambiance, Communityi System 6000 również są zagrożone. Jedynym rozwiązaniem jest wymiana lub aktualizacja zamków do drzwi, oprogramowania zarządzającego, koderów kart i wszystkich kart.

Przestępcy potrzebują tylko dostępu do jednej karty z lokalu, wygasłej lub aktywnej, aby stworzyć działający klucz NFC, który może otworzyć wszystkie drzwi Saflok w obiekcie. Ten klucz NFC może znajdować się na karcie MIFAR Classic, kieszonkowym narzędziu bezprzewodowym NFC lub dowolnym telefonie Android z NFC. Szybkie wyszukiwanie wrażliwych aspektów systemu Saflok prowadzi do kodu narzędzi do odczytu klucza KDF i wykonywania dalszych obliczeń, więc puszka Pandory została otwarta.

Zmodernizowanych zamków nie można zidentyfikować wizualnie, jednak badacze sugerują użycie czytnika kart NFC do identyfikacji typu karty używanej w obiekcie (karty MIFARE Ultralight C są bezpieczne, karty MIFARE classic są podatne na ataki).

Łatwość stworzenia klucza do zamka głównego oznacza, że czytelnicy powinni upewnić się, że ich drzwi są fizycznie zabezpieczone drugą metodą (taką jak przenośna listwa drzwiowa), a ich bezpieczeństwo jest chronione bronią obronną (taką jak gaz pieprzowy), jeśli muszą przebywać w miejscu z niezmodernizowanym zamkiem Saflok RFID.