Hakerët mund të zhbllokojnë mbi 3 milionë dyer hotelesh në sekonda
Studiuesit e sigurisë kanë zbuluar një të metë që mund të përdoret për të zhbllokuar me lehtësi sistemet e dyerve me kartë kyçe nëpër prona të shumta hotelesh.
Dobësia përfshin sistemin e dyerve Saflok nga një kompani zvicerane e quajtur Dormakaba. “Mbi tre milionë bllokime hotelesh në 131 vende janë prekur”, sipas studiuesve, të cilët theksojnë se e meta ka ekzistuar për 36 vitet e fundit.
Sipas Wired , ekspertët e sigurisë zbuluan problemin në gusht 2022 pasi morën pjesë në një ngjarje private ku u ftuan të hakojnë një dhomë hoteli në Las Vegas. Më pas, grupi ia zbuloi gjetjet Dormakaba, e cila filloi punën në një rregullim në nëntor 2023. Megjithatë, nuk ka qenë e lehtë të instalohej rregullimi nëpër pronat e prekura. Deri më tani, vetëm 36% e bravave të prekura janë përditësuar ose zëvendësuar.
“Të gjitha bravat kërkojnë një përditësim të softuerit ose duhet të zëvendësohen,” shkruajnë studiuesit. “Për më tepër, të gjitha kartat e çelësave duhet të ribotohen, softueri i tavolinës së pritjes dhe koduesit e kartave duhet të përmirësohen dhe integrimet e palëve të treta (p.sh. ashensorët, garazhet e parkimit dhe sistemet e pagesave) mund të kërkojnë përmirësime shtesë.”
Studiuesit vendosën të zbulojnë publikisht të metën në mënyrë që stafi i hotelit dhe mysafirët të jenë të vetëdijshëm për kërcënimin. Ata krijuan një faqe interneti për të metën, e cila është quajtur Unsaflok.
Studiuesit nuk kanë publikuar detaje teknike për të parandaluar hakerat që të shfrytëzojnë kërcënimin. Megjithatë, cenueshmëria është relativisht e lehtë për t’u abuzuar nga një aktor i keq. “Një sulmues duhet të lexojë vetëm një kartë kyçe nga prona për të kryer sulmin kundër çdo dere në pronë. Kjo kartë kyçe mund të jetë nga dhoma e tyre, apo edhe një kartolinë e skaduar e marrë nga kutia e arkëtimit të shpejtë,” shkruan ata.
Përveç kësaj, hakimi mund të kryhet përmes pajisjeve elektronike që mund të lexojnë, shkruajnë dhe imitojnë kartat inteligjente MiFare Classic. Kjo përfshin përdorimin e Flipper Zero prej 169 dollarësh dhe çdo smartphone Android me aftësi NFC.
Dobësia prek të gjitha bravat nën markën Saflok, përfshirë Saflok MT, Serinë Quantum, Serinë RT, Serinë Saffire dhe Serinë Confidant, ndër të tjera. Fatkeqësisht, është e pamundur që një mysafir i hotelit të tregojë vizualisht nëse një bravë është rregulluar, thonë studiuesit. Nëse dikush tjetër di për të metën mbetet e paqartë. Por ekipi vëren se “Funksioni i derivimit të çelësit” për markën Saflok – i nevojshëm për të klonuar kartat e çelësave – është projektuar së fundmi me detajet e publikuara në internet.
Në një deklaratë, Dormakaba konfirmoi se e meta ekziston. “Sapo u bëmë të vetëdijshëm për cenueshmërinë nga një grup studiuesish të jashtëm të sigurisë, ne filluam një hetim gjithëpërfshirës, i dhamë përparësi zhvillimit dhe nxjerrjes së një zgjidhjeje zbutëse dhe punuam për të komunikuar me klientët në mënyrë sistematike”, tha kompania. “Ne nuk jemi në dijeni të ndonjë rasti të raportuar të kësaj çështjeje që është shfrytëzuar deri më sot.”
Kompania nuk komentoi pse patch-i po merr kaq shumë kohë për të dalë. Por sipas studiuesve, “do të duhet një periudhë e gjatë kohore që shumica e hoteleve të përmirësohen”.