安全研究人员发现了一个漏洞,可用于轻松解锁众多酒店房间的门禁系统,轻松打开酒店的房门。
该漏洞涉及一家名为 Dormakaba 的瑞士公司的 Saflok 门禁系统。“131个国家的300多万把酒店锁受到影响,”研究人员指出,该漏洞已经存在了36年。
据报道,安全专家在 2022 年 8 月参加一次私人活动后发现了这个问题,他们被邀入侵美国赌城拉斯维加斯的一家酒店房间。
该小组随后向 Dormakaba 披露了调查结果,后者于2023年11月开始开发补丁。但是,在受影响的属性中安装修复程序并不容易。到目前为止,只有 36% 的受影响锁已更新或更换。
研究人员认为,所有锁都需要软件更新或必须更换。此外,所有钥匙卡都必须重新发行,前台软件和卡编码器必须升级,第三方集成(例如电梯、停车场和支付系统)可能需要额外升级。
研究人员决定公开披露该漏洞,以便酒店员工和客人意识到这一威胁。他们创建了一个关于该漏洞的网站,该网站被称为Unsaflok。
研究人员尚未公布技术细节,以防止黑客利用该威胁。然而,该漏洞相对容易被不良行为者滥用。攻击者只需要从物业中读取一张钥匙卡,就可以对物业中的任何门进行攻击。这张钥匙卡可以来自他们自己的房间,甚至可以是从快速结账收集箱中取出的过期钥匙卡。
此外,黑客攻击可以通过可以读取、写入和模拟 MiFare Classic 智能卡的电子设备进行,包括使用 169 美元的 Flipper Zero 和任何支持 NFC 的 Android 智能手机。
领取专属 10元无门槛券
私享最新 技术干货