ПОДПИСКА НА НОВОСТИ
Разрешите отправлять Вам уведомления о важных новостях.
РАЗРЕШИТЬ
НЕ СЕЙЧАС
21.11.2024
19:21:56
ru
kz

Хакеры научились за секунды вскрывать карточные замки гостиничных номеров

Зарубежные новости
28.03.2024
16:07
Хакеры научились за секунды вскрывать карточные замки гостиничных номеров
На прошлой неделе группа исследователей в области информационной безопасности представила метод вскрытия дверей гостиничных номеров, который использует уязвимости, позволяющие практически мгновенно разблокировать некоторые модели карточных замков марки Saflok от швейцарского производителя Dormakaba. Хакеры Ян Кэрролл и Леннерт Воутерс остроумно назвали свой метод Unsaflok. Об этом сообщает Wired.

По имеющимся в открытом доступе данным, системы ключей Saflok установлены примерно на 3 миллионах дверей в 13 000 различных зданиях в 131 стране по всему миру.
 
Метод Кэрролла и Воутерса начинается с того, что они получают любую карточку-ключ от отеля и считывают с неё определенный код с помощью подключённого к компьютеру устройства для чтения и записи RFID-карт (его легко купить за 130 000 тг). Затем с использованием полученной информации нужно записать два собственных карточных ключа.
 
Потом лишь остаётся последовательно приложить эти две карты к замку любого номера в том самом отеле. Первая перезаписывает часть данных замка, а вторая открывает его.

"Два быстрых касания - и мы открываем дверь. И это работает с каждой дверью в отеле", - рассказал Воутерс, исследователь из группы компьютерной безопасности и промышленной криптографии бельгийского университета KU Leuven. 

Воутерс вместе с Кэрроллом, независимым исследователем безопасности и основателем туристического сайта Seats.aero, поделились своей методикой взлома с производителем замков, компанией Dormakaba, ещё в ноябре 2022 года.
 
Уже около года Dormakaba работает над тем, чтобы предупредить отели, использующие Saflok, о недостатках системы безопасности и помочь им исправить уязвимость или заменить замки, но до решения проблемы ещё очень далеко.

Как же обычный человек может проверить замок своего номера?
 
Специалисты рассказали, что в большинстве случаев постояльцы могут распознать уязвимые замки по характерной особенности - круглому RFID-считывателю с волнистой линией, проходящей через него.
 
Есть ещё один способ, которым гости могут узнать, подвержен ли замок их номера уязвимости - нужно проверить свою карточку-ключ с помощью мобильного приложения NFC Taginfo от NXP.

"Если замок изготовлен компанией Dormakaba, а приложение показывает, что карточный ключ является картой MIFARE Classic, то дверь уязвима для взлома." 

В такой ситуации Кэрролл и Воутерс советуют гостям не хранить ценные вещи в номере и закрывать дверь на цепочку, пока они находятся внутри. Они отметили, что засов с поворотной ручкой не обеспечит защиты, поскольку он также управляется картой-ключом.

Внешний вид уязвимых замков
Saflok

Источник фото: Unsaflok.

Что делает производитель замков для решения проблемы?
 
По имеющимся данным, для большинства систем Saflok, реализованных за последние восемь лет, не требуется замена каждого замка. Для устранения проблемы отелям достаточно обновить систему управления регистрацией постояльцев и пригласить специалиста для ручного перепрограммирования дверных замков в номерах.
 
Однако до сих пор не было достигнуто большого прогресса в решении этой весьма серьёзной проблемы безопасности.
 
Воутерс и Кэрролл рассказали, что по состоянию на март 2024 года было обновлено только лишь 36% всех замков Saflok. Производитель также сообщил, что полное исправление уязвимости займёт ещё не менее нескольких месяцев, особенно учитывая, что некоторые старые замки требуют обязательного обновления аппаратной части.
 
В своём заявлении производитель злополучных замков, компания Dormakaba, сообщила, что подробная информация об уязвимости замков была опубликована 20 марта.

"Как только мы узнали об уязвимости от группы внешних исследователей безопасности, мы начали всестороннее расследование, определили приоритеты для разработки и развёртывания решения по устранению проблемы, а также были в постоянной коммуникации с нашими клиентами", - говорится в заявлении. 

"На сегодняшний день нам не известно ни одного случая использования этой проблемы злоумышленниками. В соответствии с принципами раскрытия информации мы сотрудничаем с исследователями, чтобы выпустить развёрнутый материал о существующих рисках устаревшей технологии RFID, чтобы другие тоже могли принять меры предосторожности", - рассказал производитель замков. 

Тем временем Воутерс и Кэрролл говорят, что со своей стороны посчитали нужным предупредить простых людей об имеющейся уязвимости.

"Мы пытаемся найти золотую середину: помочь Dormakaba быстро исправить ситуацию, но при этом рассказать о ней широкой общественности. Ведь если кто-то из злоумышленников вдруг обнаружит эту же уязвимость и втайне начнёт использовать её, это станет даже ещё большей проблемой", - сказал Кэрролл. 

 
Читайте также: "Кишит микробами": не пользуйтесь этим предметом в отеле.
Свидетельство о постановке на учет СМИ №KZ38VPY00083153 выдано 04.12.2023.
+
Сообщение
+
Заказ звонка
Отправить