Center for Finance
Light Weight
- Депозит
- $-184
Исследователи Wired обнаружили уязвимости, затрагивающие более 3 млн. электронных RFID-замков Saflok, установленных в 13 000 отелях и домах 131 стране мира.
Кластер недостатков с общим названием Unsaflok, позволяет без труда разблокировать любую дверь в отеле, подделав кей-кард.
Уязвимости были найдены группой исследователей в сентябре 2022 года во время закрытого хакерского мероприятия в Лас-Вегасе, где команды соревновались в поиске уязвимостей на всех находящихся в нем устройствах в гостиничном номере.
Этакий приватный CTF в гостинице, в рамках которого команда исследователей сосредоточилась на поиске уязвимостей в электронном замке Saflok на входной двери, таки раскопала бреши, которые могут открыть любую дверь в отеле.
Исследователи представили свои результаты производителю Dormakaba в ноябре 2022 года, который проработал сценарии над смягчением последствий и проинформировал отели об угрозе безопасности, не предавая суть проблемы общественной огласке.
Примечательно то, что бренд Saflok продавался более трех десятилетий и, возможно, был уязвим на протяжении большей части или вовсе всех этих лет.
Несмотря на то, что Dormakaba заявляет, что ей неизвестно о каком-либо использовании техники взлома в прошлом, исследователи полагают, что когда-то это могло произойти, но без огласки.
Но сегодня исследователи впервые публично раскрыли уязвимости Unsaflok, предупредив, что они затрагивают почти 3 миллиона дверей, использующих систему Saflok.
Для атаки достаточно прочитать одну ключ-карту с объекта и подделать рабочий мастер-ключ, который откроет любую комнату.
Поддельные ключ-карты можно создать с использованием любой карты MIFARE Classic и любого коммерчески доступного инструмента, способного записывать данные на эти карты, включая Poxmark3, Flipper Zero или просто смартфон на Android с NFC.
Оборудование, необходимое для создания двух карт, использованных в атаке, стоит менее нескольких сотен долларов США.
При эксплуатации недостатков первая карта перезаписывает данные замка, а вторая открывает замок (как - показано на видео).
Несмотря на скорую реакцию поставщика после публичного раскрытия и начало глобальной замены (обновления) устройств, более 64% из них остаются уязвимыми.
Кластер недостатков с общим названием Unsaflok, позволяет без труда разблокировать любую дверь в отеле, подделав кей-кард.
Уязвимости были найдены группой исследователей в сентябре 2022 года во время закрытого хакерского мероприятия в Лас-Вегасе, где команды соревновались в поиске уязвимостей на всех находящихся в нем устройствах в гостиничном номере.
Этакий приватный CTF в гостинице, в рамках которого команда исследователей сосредоточилась на поиске уязвимостей в электронном замке Saflok на входной двери, таки раскопала бреши, которые могут открыть любую дверь в отеле.
Исследователи представили свои результаты производителю Dormakaba в ноябре 2022 года, который проработал сценарии над смягчением последствий и проинформировал отели об угрозе безопасности, не предавая суть проблемы общественной огласке.
Примечательно то, что бренд Saflok продавался более трех десятилетий и, возможно, был уязвим на протяжении большей части или вовсе всех этих лет.
Несмотря на то, что Dormakaba заявляет, что ей неизвестно о каком-либо использовании техники взлома в прошлом, исследователи полагают, что когда-то это могло произойти, но без огласки.
Но сегодня исследователи впервые публично раскрыли уязвимости Unsaflok, предупредив, что они затрагивают почти 3 миллиона дверей, использующих систему Saflok.
Для атаки достаточно прочитать одну ключ-карту с объекта и подделать рабочий мастер-ключ, который откроет любую комнату.
Поддельные ключ-карты можно создать с использованием любой карты MIFARE Classic и любого коммерчески доступного инструмента, способного записывать данные на эти карты, включая Poxmark3, Flipper Zero или просто смартфон на Android с NFC.
Оборудование, необходимое для создания двух карт, использованных в атаке, стоит менее нескольких сотен долларов США.
При эксплуатации недостатков первая карта перезаписывает данные замка, а вторая открывает замок (как - показано на видео).
Несмотря на скорую реакцию поставщика после публичного раскрытия и начало глобальной замены (обновления) устройств, более 64% из них остаются уязвимыми.