Исследователи обнаружили серию уязвимостей, которая затрагивает 3 млн электронных RFID-замков Saflok. Они установлены в 13 тысячах отелей и домов по всему миру.
Баг потенциально позволяет вскрыть дверь, подделав пару карт-ключей.Серия уязвимостей получила название «Unsaflok». Её впервые обнаружили в сентябре 2022 года на частном хакерском мероприятии в Лас-Вегасе.Исследователи сообщили о своих выводах производителю замков Dormakaba в ноябре 2022 года, и тот проинформировал отели об угрозе безопасности, не афишируя проблему.Однако исследователи отмечают, что уязвимости активны уже более 36 лет. «Хотя нам неизвестно о каких-либо реальных атаках, использующих эти уязвимости, такой вариант не исключён», — объясняют они.Unsaflok — это серия уязвимостей, которые, будучи объединены в цепочку, позволяют злоумышленнику разблокировать любую комнату в доме с помощью пары поддельных карт-ключей.
Чтобы задействовать их, хакеру достаточно прочитать только одну карту-ключ от объекта недвижимости, которая может быть картой-ключом от его собственной комнаты.Исследователи провели реверс-инжиниринг программного обеспечения стойки регистрации Dormakaba и устройства программирования замков.
Читать на habr.com