Nel 2022, durante un evento privato a Las Vegas, a dei ricercatori è stato chiesto di testare la sicurezza delle serrature digitali di una camera d’albergo, cercando vulnerabilità non solo nella serratura ma anche in altri dispositivi presenti nella stanza.
Ora è stato rivelato che a quanto pare esiste una tecnica che consente a chi possiede un telefono Android di aprire milioni di camere d’albergo in tutto il mondo in pochi secondi, sfruttando una vulnerabilità denominata Unsaflok.
Questa colpisce le serrature elettroniche RFID Saflok prodotte da Dormakaba, consentendo di sbloccare oltre tre milioni di stanze in più di 13.000 strutture in 161 paesi diversi. I ricercatori hanno sfruttato alcune lacune nel sistema di crittografia e RFID di Dormakaba, riuscendo a creare due chiavi digitali partendo da una carta chiave qualunque dell’albergo, che, una volta utilizzate sulla serratura, ne consentono l’apertura.
Invece di utilizzare due carte fisiche, è possibile sostituirle con un telefono Android dotato di NFC, scaricando un’app che emette il segnale necessario per sbloccare la porta. Questa scoperta sfrutta un precedente hack esposto nel 2012 che sfruttava una vulnerabilità nelle serrature Onity, che l’azienda aveva rifiutato di risolvere a sue spese, lasciando agli alberghi il compito di aggiornare le serrature.
A differenza di quanto accaduto in passato, il team di Unsaflok ha scelto di non divulgare i dettagli completi dell’hack al pubblico, cercando un equilibrio tra la necessità di spingere Dormakaba a risolvere rapidamente il problema e la consapevolezza di ospiti e alberghi.
Dormakaba ha risposto collaborando con i partner per identificare e attuare un immediato blocco della vulnerabilità, assicurando che verranno intrapresi tutti i passi necessari per affrontare la questione in modo responsabile.
Lascia un commento