Hackeři se už umí dostat do jakýchkoliv hotelových dveří na světě

Každý rok se v Las Vegas konají hackerské konference Black Hat a Defcon, kde se tisíce bezpečnostních výzkumníků snaží hacknout cokoli, co jim přijde do cesty. Třeba váš hotelový pokoj.

 

 

Představte si plnou místnost plechovek Red Bullu, rozzářené notebooky a ponořené počítačové mágy. Taková asi byla atmosféra na soukromé hackerské akci v Las Vegas před dvěma lety. Bezpečnostní výzkumníci tam dokázali nemyslitelné. Přišli na to, jak během chvíle otevřít jakékoliv hotelové dveře na světě.

 

Dvakrát přiložte

Když se v roce 2022 se účastníci hackerské konference mimo oficiální akce sešli na soukromé "afterparty",  dali si za úkol proniknout do lasvegaského pokoje. Všichni se okamžitě dali do práce a započali cestu za zranitelnostmi jakékoliv technologické vymoženosti v místnosti.

Jeden tým se rozhodl proniknout do nejzranitelnějšího prvku pokoje, a to zámku na dveřích. Nyní po více než roce a půl s veřejností konečně sdíleli svá zjištění a výsledky své práce. Podařilo se jim odhalit techniku, která potenciálnímu vetřelci umožní vstup do jakýchkoliv hotelových dveří, a to za pár vteřin. Stačí pouze dvakrát přiložit kartu. 

Svou hackerskou techniku pojmenovali příhodně - Unsaflok. Vychází ze značky zámků Saflok od švýcarského výrobce, které využívá na 3 miliony dveří ve 13 tisících objektech ve 131 zemích na světě.

Pak už jen využili slabiny v šifrování a RFID systému MIFARE Classic a s pomocí dvou karet dokázali otevřít jakýkoli zámek Saflok na světě. V řádu vteřin.

 

 

Jak to udělali?

Hackeři potřebují kartu z cílového hotelu, kterou získají buď rezervací pokoje, nebo nalezením použité karty. Následně z karty pomocí RFID čtečky/zapisovače za 300 dolarů přečtou kód a připraví si dvě vlastní karty. První karta slouží k přeprogramování zámku a druhá ho pak otevře.

Toho se hned ujala společnost Dormakaba, která byla o zranitelnosti informována v listopadu 2022. Od té doby se snaží hotely varovat a pomoci jim s opravou nebo výměnou napadnutelných zámků. U novějších systémů Saflok jim stačí pouze aktualizovat software nebo vyměnit recepční systém a přeprogramovat zámky. U starších modelů se musí vyměnit hardware.

Doposud prý tato proběhla aktualizace u 36 procent nainstalovaných systémů Saflok, úplná náprava bude pravděpodobně trvat ještě několik měsíců, u starších systémů možná i let.

 

 

Co můžete jako hoteloví hosté udělat?

Dbejte na prevenci. Při ubytování v hotelu zkontrolujte zámek na dveřích svého pokoje. Pokud má kulatou RFID čtečku s vlnkou, jedná se o zámek Saflok.

Stáhněte si aplikaci NFC Taginfo od NXP, dostupnou pro operační systémy iOS i Android. Jejím prostřednictvím pak zjistíte, zda je zámek vašeho pokoje už aktualizován. Pokud zámek stále používá systém MIFARE Classic, lze ho pravděpodobně stále hacknout. V takovém případě nezbývá než se řídit následujícími pravidly:

  1. Nenechávejte v pokoji cennosti.
  2. Když jste uvnitř, používejte bezpečnostní řetízek na dveřích.
  3. Mějte na paměti, že karta ovládá celý zámek na dveřích. Zamčení zevnitř neposkytne dostatečnou ochranu.

 

 

Připravila: Petra Sauerová