安全研究人員發現了一個漏洞,可用于輕松解鎖衆多酒店房間的門禁系統,輕松打開酒店的房門。
該漏洞涉及一家名爲 Dormakaba 的瑞士公司的 Saflok 門禁系統。“131個國家的300多萬把酒店鎖受到影響,”研究人員指出,該漏洞已經存在了36年。
據報道,安全專家在 2022 年 8 月參加一次私人活動後發現了這個問題,他們被邀入侵美國賭城拉斯維加斯的一家酒店房間。
該小組隨後向 Dormakaba 披露了調查結果,後者于2023年11月開始開發補丁。但是,在受影響的屬性中安裝修複程序並不容易。到目前爲止,只有 36% 的受影響鎖已更新或更換。
研究人員認爲,所有鎖都需要軟件更新或必須更換。此外,所有鑰匙卡都必須重新發行,前台軟件和卡編碼器必須升級,第三方集成(例如電梯、停車場和支付系統)可能需要額外升級。
研究人員決定公開披露該漏洞,以便酒店員工和客人意識到這一威脅。他們創建了一個關于該漏洞的網站,該網站被稱爲Unsaflok。
研究人員尚未公布技術細節,以防止黑客利用該威脅。然而,該漏洞相對容易被不良行爲者濫用。攻擊者只需要從物業中讀取一張鑰匙卡,就可以對物業中的任何門進行攻擊。這張鑰匙卡可以來自他們自己的房間,甚至可以是從快速結賬收集箱中取出的過期鑰匙卡。
此外,黑客攻擊可以通過可以讀取、寫入和模擬 MiFare Classic 智能卡的電子設備進行,包括使用 169 美元的 Flipper Zero 和任何支持 NFC 的 Android 智能手機。