Je to kvôli 36 rokov starým bezpečnostným dieram.

Elektronické RFID zámky Saflok od výrobcu Dormakaba trpia sériou závažných bezpečnostných chýb, ktoré umožňujú hackerom otvoriť akékoľvek dvere v objekte vďaka pomerne jednoduchému zneužitiu. Séria zraniteľností, ironicky nazvaná Unsaflok, bola objavená a oznámená výrobcovi v septembri 2022 a bezpečnostní výskumníci ju verejne odhalili len nedávno. Oprava je k dispozícii od novembra 2023, avšak zhruba dve tretiny všetkých postihnutých zámkov ešte stále nie sú opravené.

Ovplyvnené sú všetky zámky využívajúce systém Saflok vrátane (okrem iného) zámkov Saflok MT, série Quantum, série RT, série Saffire a série Confidant. „Tieto zámky sa používajú predovšetkým v hoteloch, kde je riadiacim softvérom System 6000 alebo Ambiance. Ovplyvnené sú aj niektoré aplikácie v oblasti viacgeneračného bývania, ktoré používajú System 6000 alebo Community,“ spresnili výskumníci a dodali, že nie je možné vizuálne rozlíšiť opravené a neopravené zámky.

Celkovo sa zraniteľnosť týka viac ako troch miliónov dverí v 13 000 nehnuteľnostiach v 131 krajinách. Výskumníci zverejnili len obmedzené informácie o zraniteľnosti. V kombinácii identifikované slabiny umožňujú útočníkovi odomknúť všetky izby len pomocou jedného páru sfalšovaných kľúčových kariet: „Útočníkovi stačí prečítať jednu kartu od nehnuteľnosti, aby vykonal útok na ktorékoľvek dvere v danej nehnuteľnosti. Táto karta môže byť z jeho vlastnej izby, alebo dokonca z neplatnej karty, ktorá bola odobratá zo zbernej schránky expresných pokladní.“

„Sfalšované kľúčenky sa potom dajú vytvoriť pomocou akejkoľvek karty MIFARE Classic a akéhokoľvek komerčne dostupného nástroja schopného zapisovať údaje na tieto karty. Jeden pár sfalšovaných kľúčových kariet umožňuje útočníkovi otvoriť akékoľvek dvere v objekte.“ Zámky Saflok od spoločnosti Dormakaba sú na trhu od roku 1988, preto sú zraniteľnosti staré už viac ako 36 rokov. Napriek tomu, že výskumníci nevedia o žiadnych reálnych útokoch využívajúcich tento exploit, existuje možnosť, že tieto zraniteľnosti sú hackerom známe a aktívne sa využívajú v prírode.

Zdroj