Un gruppo di ricercatori ha presentato il risultato di un’indagine durata oltre un anno e mezzo dimostrando l’esistenza di alcune vulnerabilità che consentono di aprire le stanze di albergo di mezzo mondo, con due semplici passaggi. La tecnica, battezzata Unsaflok, è descritta nel dettaglio dagli esperti Ian Carroll, Lennert Wouters che ne sottolineano la gravità.
Ad essere prese di mira sono diversi modelli di serrature basate su RFID installate, a livello mondiale su 3 milioni di porte in tutto il mondo, all’interno di 13.000 proprietà in 131 Paesi diversi.
Sfruttando le debolezze della soluzione crittografica in uso che del sistema RFID sottostante, noto come MIFARE Classic, un aggressore può aprire piuttosto facilmente qualunque serratura a marchio Saflock.
Serrature di hotel e strutture ricettive a rischio con Unsaflok
Carroll e Wouters spiegano che l’attacco inizia recuperando una qualsiasi chiave elettronica da un hotel “target”, ad esempio, prenotando una camera o prendendola da una scatola di chiavi usate. A questo punto un attaccante può leggere il codice contenuto nella carta usando un dispositivo di lettura-scrittura RFID da 300 dollari e infine predisponendo in proprio due carte “ad hoc”. Avvicinando la prima chiave alla serratura, la prima sovrascrive una parte dei dati conservati lato serratura mentre la seconda apre la porta.
I due esperti affermano di aver condiviso i dettagli tecnici della loro scoperta con Dormakaba, l’azienda svizzera che commercializza le serrature Saflock, già a novembre 2022.
Da parte sua, Dormakaba afferma di lavorare dall’inizio dello scorso anno per informare gli hotel che utilizzano Saflok e aiutare le strutture a sistemare le serrature vulnerabili. Per molti dei sistemi Saflok venduti negli ultimi otto anni, non è necessaria una sostituzione dell’hardware. Invece, le strutture ricettive sono chiamate ad aggiornare o sostituire il sistema di gestione utilizzato in reception quindi svolgere una riprogrammazione rapida di ogni serratura, porta per porta.
Al momento, rivelano Carroll e Wouters, solo il 36% dei dispositivi Saflok installati è stato aggiornato. Dato che le serrature non sono collegate a Internet e alcuni modelli più vecchi necessitano comunque di un aggiornamento hardware, la correzione completa probabilmente richiederà ancora diversi mesi per essere implementata. Nell’ipotesi più ottimistica. Alcune installazioni più datate potrebbero restare vulnerabili addirittura per anni.
Le vulnerabilità individuate nelle chiavi degli alberghi, più in profondità
La tecnica per hackerare le serrature di Dormakaba coinvolge due tipi distinti di vulnerabilità. La prima consente a un eventuale attaccante di scrivere chiavi arbitrarie mentre l’altra dà modo di stabilire esattamente quale dato scrivere sulle carte elettroniche RFID per “ingannare” la serratura Saflok affinché si apra.
Le vulnerabilità di MIFARE Classic sono note ormai da un decennio e si sa che consentono agli aggressori di scrivere sulle chiavi, con un processo di brute forcing che può richiedere fino a 20 secondi per essere portato a termine con successo.
Il duo Carroll-Wouters ha quindi violato una parte del sistema crittografico di Dormakaba, ovvero la cosiddetta funzione di derivazione della chiave: questa “forzatura” ha permesso loro di scrivere sulle carte molto più velocemente.
Previo ottenimento di uno dei dispositivi di programmazione delle serrature che Dormakaba distribuisce agli hotel, oltre a una copia del software utilizzato presso le reception per la gestione delle chiavi, i ricercatori hanno effettuato un reverse engineering dell’applicazione riuscendo a comprendere tutti i dati memorizzati sulle carte, estrarre un codice di proprietà dell’hotel e un codice per ogni singola stanza.
Creazione di una chiave passepartout, valida per tutte le stanze di un’intera struttura
Alla fine, Carroll-Wouters hanno creato una chiave master funzionante in grado di aprire qualsiasi stanza della struttura. “È possibile predisporre una carta passepartout che sembra davvero creata dal software di Dormakaba“, ha dichiarato Wouters.
Una volta completato tutto il lavoro di reverse engineering, come accennato nell’introduzione, un aggressore deve utilizzare semplicemente un dispositivo di lettura-scrittura RFID Proxmark, un paio di schede RFID vuote, un telefono Android o uno strumento di hacking come Flipper Zero.
I ricercatori concludono che la vulnerabilità esiste da molto tempo, che è improbabile che loro siano stati i primi a individuarla e che quindi ci sono elevate probabilità che possa essere stata usata in passato da parte di altri soggetti.
L’immagine in apertura è tratta della pagina Unsaflock.