Spravodajstvo
Vašim Androidom môžete potenciálne otvoriť viac ako 3 milióny dverí v 131 krajinách. Bezpečnostní analytici objavili závažnú zraniteľnosť
Unsaflok je bezpečnostná diera, ktorá umožňuje otvoriť pomocou Android smartfónu s podporou NFC približne 3 milióny dverí.
Bezpečnostní analytici objavili závažnú chybu v elektronických RFID zámkoch Saflok spoločnosti Dormakaba, ktoré sa bežne používajú v hotelierstve a z menšej časti aj v rodinných domoch. Na tému upozornil portál techspot.com.
Otvoriť môžete milióny dverí so zámkom Saflok
Experti na bezpečnosť hovoria, že zraniteľnosť ovplyvňuje viac ako 3 milióny dverí na viac ako 13 000 nehnuteľnostiach v 131 krajinách. Ovplyvnené sú všetky známky Saflok vrátane Saflok MT, série Quantum, série RT, série Saffire a série Confidant.
„Útočníkovi stačí prečítať jednu kľúčovú kartu z budovy, aby mohol zaútočiť na akékoľvek dvere v objekte.“, hovoria v experti v publikovanej správe.
Zneužitie zraniteľnosti vyžaduje originálnu kľúčovú kartu MIFARE Classic a to s aktívnu alebo vypršanou platnosťou a akékoľvek zariadenie, ktoré dokáže zapisovať dáta na kartu. Pre tých, ktorí nevedia, tak MIFARE je technológia bezkontaktných kariet, ktorá bola predstavená v roku 1994. Ide o technológiu. Vďaka svojej jednoduchosti patrí medzi najpopulárnejšie riešenia vôbec.
Útok možno zrealizovať prakticky s hocijakým zariadením, ktoré je schopné čítať a zapisovať alebo emulovať karty. To zahŕňa nástroje ako Proxmark3 a Flipper Zero, ale aj telefón s Androidom s podporou NFC.
Experti na bezpečnosť hovoria, že zistiť, že útočník zneužil túto zraniteľnosť, je pomerne náročné, no dá sa to. A to auditovaním denníkov vstupu/výstupu zámku. Ďalej dopĺňajú, že aktuálne nemajú vedomosť o tom, že by bola objavená zraniteľnosť aktívne zneužitou.
Neprehliadnite
„Spoločnosť Dormakaba začala predávať zámky Saflok v roku 1988, čo znamená, že zraniteľné zámky sa používajú už viac ako 36 rokov. Aj keď si nie sme vedomí žiadnych útokov v reálnom svete, ktoré využívajú tieto zraniteľnosti, nie je vylúčené, že tieto zraniteľnosti poznajú a používajú aj iní.“
Bezpečnostní analytici ďalej hovoria, že nemajú v pláne zverejniť kompletnú dokumentáciu, ktorá popisuje chyby vo softvéri. Ale aj napriek tomu medzičasom kontaktoval spoločnosť Dormakaba, ktorú informovali o zraniteľnosti. No samotné vyriešenie problému je pomerne náročný a zdĺhavý proces.
Dôvodom je, že všetky zámky vyžadujú aktualizáciu softvéru alebo ich je potrebné vymeniť. Okrem toho je potrebné znova vydať všetky kľúčové karty, aktualizovať softvér na recepcii a kódovače kariet a integrácie tretích strán (napr. výťahy, parkovacie garáže a platobné systémy) môžu vyžadovať ďalšie inovácie.
