Pesquisadores de segurança cibernética revelaram vulnerabilidades em 3 milhões de fechaduras eletrônicas RFID Saflok instaladas em 13.000 hotéis e residências em todo o mundo. Uma série de vulnerabilidades, chamadas Unsaflok, foram descobertas em setembro de 2022. O fabricante de fechaduras Dormakaba recebeu esta informação em novembro de 2022. Ela imediatamente começou a trabalhar para resolver o problema e educar os clientes. Devido à dimensão do problema, 64% dos bloqueios ainda estão vulneráveis.
Fonte da imagem: Unsaflok
Em 2022, os pesquisadores foram convidados para um evento privado de hackers em Las Vegas, onde competiram com outras equipes para encontrar vulnerabilidades em um quarto de hotel e em todos os dispositivos nele contidos. A equipe se concentrou na fechadura eletrônica Saflok para quartos de hotel, encontrando brechas de segurança que poderiam abrir qualquer porta do hotel com um par de cartões-chave falsificados.
Para usar o Unsaflok, um invasor só precisa obter acesso a qualquer cartão-chave de uma propriedade. Cartões-chave falsificados podem ser criados usando qualquer cartão MIFARE Classic e qualquer ferramenta disponível comercialmente que possa gravar dados nesses cartões, incluindo Poxmark3, Flipper Zero ou um smartphone Android habilitado para NFC. O equipamento necessário para criar as duas cartas utilizadas no ataque custa menos de algumas centenas de dólares americanos.
Os pesquisadores fizeram engenharia reversa do software da recepção e do dispositivo de programação de fechaduras do Dormakaba, aprendendo a forjar uma chave mestra funcional que pode abrir qualquer quarto do hotel. Para clonar os cartões, eles tiveram que hackear a função de recuperação de chaves do Dormakaba. Ao explorar a vulnerabilidade, o primeiro cartão sobrescreve os dados do bloqueio e o segundo abre o bloqueio, conforme mostrado no vídeo abaixo.
Hoje, os pesquisadores divulgaram publicamente as vulnerabilidades do Unsaflok pela primeira vez, alertando que elas afetam quase 3 milhões de portas que usam o sistema Saflok. Observaram que as vulnerabilidades estão disponíveis há mais de 36 anos e, embora não haja casos confirmados de exploração desta falha de segurança, um período tão longo de existência da vulnerabilidade aumenta esta possibilidade. “Embora não tenhamos conhecimento de quaisquer ataques reais que explorem estas vulnerabilidades, é possível que estas vulnerabilidades sejam conhecidas e tenham sido exploradas por outros”, explica a equipa do Unsaflok.
As deficiências do Unsaflok afetam vários modelos Saflok, incluindo Saflok MT, Quantum, RT, Saffire e Confidant, controlados pelo software System 6000 ou Ambiance. Os modelos afetados são usados em três milhões de portas em 13 mil propriedades em 131 países. Dormakaba começou a atualizar seu hardware em novembro de 2023, o que exige a reemissão de todas as placas e a atualização de seus codificadores. Em março de 2024, 64% dos castelos permaneciam vulneráveis.
Os dois bloqueios vulneráveis mais comuns
«Atualmente, estamos divulgando informações limitadas sobre a vulnerabilidade para garantir que os funcionários e hóspedes do hotel estejam cientes do risco potencial à segurança”, disseram os pesquisadores em comunicado. Eles não forneceram nenhum detalhe técnico adicional neste momento. Os pesquisadores prometeram compartilhar todos os detalhes do ataque ao Unsaflok no futuro, assim que os esforços de recuperação atingirem um nível satisfatório.
A equipe do hotel pode detectar hackers ativos monitorando os registros de login/logout. No entanto, estes dados por vezes não são suficientes para detectar com precisão o acesso não autorizado. Os hóspedes podem determinar se as fechaduras dos seus quartos são vulneráveis utilizando a aplicação NFC Taginfo (Android, iOS) para verificar o tipo de cartão-chave do seu telefone. Os cartões MIFARE Classic indicam uma provável vulnerabilidade.
Em conjunto com a divulgação pública do Unsaflok, Dormakaba emitiu uma declaração em 21 de março de 2024 sobre a violação de segurança que afeta os produtos System 6000, Ambiance e Community: “Assim que tomamos conhecimento da vulnerabilidade, iniciamos uma investigação completa, priorizando desenvolvimento e implementou uma solução de mitigação e começou a notificar sistematicamente os clientes. Até o momento, não temos conhecimento de qualquer exploração deste problema. [Estamos comprometidos em] comunicar como os riscos associados à tecnologia RFID legada estão evoluindo para que outros possam tomar precauções.”