A hackerek több mint 3 millió hotelszoba ajtaját kinyithatják másodpercek alatt
2022-ben felkértek egy csapat biztonsági kutatót, hogy hackeljék meg egy las vegas-i szállodai szoba zárját. Nem meglepő módon a csapat sikerrel is járt, a zárat feltörék. Azóta a kulcskártyák gyártója már talált is megoldást a biztonsági résre, a javítás azonban még sok időbe telhet.
Most, több mint másfél évvel később, végre napvilágra hozták a kísérlet részleteit: a szakemberek felfedeztek egy olyan technikát, amely lehetővé tenné egy hacker számára, hogy szinte azonnal kinyissa az RFID-alapú Saflok kulcskártyákkal működő zárakat, amelyeket a svájci zárkészítő, a Dormakaba gyárt. A Saflok rendszereket világszerte 3 millió ajtón, 131 ország 13 000 ingatlanában telepítették.
A kísérlet eredménye
A szakértők bemutatták, hogy Dormakaba titkosításának és az alap RFID rendszer gyengeségeinek kihasználásával mennyire egyszerű a Saflok kulcskártyás zárak kinyitása: először is szerezniük kell egy random kulcskártyát a célszállodából – például foglalnak ott egy szobát vagy szereznek valahonnan egy használt kártyát –, ezután leolvasnak egy bizonyos kódot a kártyáról egy 300 dolláros RFID író-olvasó eszközzel, és végül két saját kulcskártyát írnak. Az ajtó kinyitásához ezután elég csak hozzáérinteni ezeket a kártyákat a zárhoz: az első átír egy bizonyos adatrészt a zárban, a második pedig kinyitja azt.
„Két gyors érintéssel kinyitjuk az ajtót” – mondja Lennert Wouters, Belgiumi KU Leuven Egyetem számítógépes biztonsággal és ipari kriptográfiával foglalkozó csoportjának kutatója. – „És ez a szálloda minden ajtajánál működik.”
Wouters és egy, a kísérletben részt vevő független biztonsági kutató, Ian Carroll 2022 novemberében megosztotta a hackelési technika összes műszaki részletét a Dormakabával. A Dormakaba elméletileg már az elmúlt év eleje óta azon dolgozik, hogy a Saflokot használó szállodák tudatában legyenek a biztonsági hibáknak, és segít a sebezhető zárak javításában vagy cseréjében. Azoknál a Saflok rendszereknél, amelyeket az elmúlt nyolc évben értékesítettek, nincs szükség a zárak cseréjére. Ehelyett a szállodáknak csak annyi a dolguk, hogy frissítik vagy lecserélik a recepció kezelő rendszerét, valamint egy technikusnak újra kell programoznia minden egyes zárat, ajtóról ajtóra, ami viszonylag gyorsan megy.
Wouters és Carroll állítása szerint viszont a Dormakaba ebben a hónapban azt közölte velük, hogy a telepített Saflokoknak még csak a 36 százaléka lett frissítve. Mivel a zárak nem csatlakoznak az internethez és néhány régebbi zárnak még hardverfrissítésre lesz szüksége, azt mondják, hogy a teljes javítás végrehajtása a legjobb esetben is még hónapokig eltarthat. Néhány régebben telepített eszköz esetében ez évekbe is beletelhet.
A technika lényege
A Wouters és Carroll kutatócsoportja által felfedezett technika, amellyel a Dormakaba zárjait hackelik, két különböző típusú sebezhetőséget foglal magában: az egyik lehetővé teszi számukra a kulcskártyák írását, a másikkal pedig megtudhatják, milyen adatokat írjanak a kártyákra ahhoz, hogy sikeresen becsapjanak egy Saflok zárat annak kinyitásához. A Saflok kulcskártyák a MIFARE Classic RFID rendszert használják, amelyről már több mint egy évtizede ismert, hogy a sebezhetőségei lehetővé teszik a hackerek számára a kulcskártyák írását, bár a brute-force folyamat akár 20 másodpercig is eltarthat. Ezután feltörték a Dormakaba saját titkosítási rendszerének egy részét, az úgynevezett kulcsderiváló funkciót, amely lehetővé tette számukra, hogy sokkal gyorsabban írjanak a kártyákra. A kutatók így tetszés szerint másolhatták a Saflok kulcskártyát, viszont továbbra sem tudtak létrehozni egyet egy másik szobához.
A kutatók számára kulcsfontosságú volt, hogy szerezzenek egy olyan zárprogramozó eszközt, amelyet a Dormakaba ad ki a szállodáknak, illetve szükségük volt a kulcskártyák kezelésére szolgáló recepciós szoftver egy példányára is. Ennek a szoftvernek a visszafejtésével képesek voltak megérteni a kártyákon tárolt összes adatot, kivonták a szálloda tulajdonkódját, valamint egy minden egyes szoba számára egyedi kódot, majd létrehozták a saját értékeiket, és titkosították őket pont úgy, ahogy a Dormakaba rendszere tenné. Ez lehetővé tette számukra, hogy hamisítsanak egy működő mesterkulcsot, amely a szálloda bármelyik szobáját kinyitja.
És hogyan szerezte meg Carroll és Wouters a Dormakaba recepciós szoftverét? „Szépen megkérdeztünk néhány embert” – mondja Wouters. – „A gyártók azt feltételezik, hogy senki sem fogja eladni a berendezéseiket az eBay-en, és hogy senki sem fog másolatot készíteni a szoftverükről; úgy gondolom, mindenki tisztában van vele, hogy ezek a feltételezések nem igazán felelnek meg a valóságnak.”
Miután mindezt a visszafejtési munkát elvégezték, a támadás végső verzióját egy 300 dolláros Proxmark RFID író-olvasó eszközzel, néhány üres RFID kártyával, illetve egy Android telefonnal vagy egy Flipper Zero rádióhackelő eszközzel meg is tudták valósítani.
A hackerek úgynevezett „Unsaflok” technikájának legnagyobb szépséghibája az, hogy még mindig szükségük van hozzá az egyik szoba kulcskártyájára – még ha csak egy lejártra is – ugyanabban a szállodában, ahol a célszoba van. Ennek oka, hogy minden kártyán van egy ingatlan- és egy szobaspecifikus kód, amit fel kell másolniuk a hamisított kártyára.
Miután megvan ez az ingatlankód, a technika azt is megköveteli, hogy egy RFID író-olvasó eszközt használjanak két kártya írásához – az egyik kártya újraprogramozza a célszobát, a második hamisított kártya pedig kinyitja azt. (A kutatók szerint azonban egy Android telefon vagy egy Flipper Zero is használható lehet a két jel egymást követő kibocsátására a két kártya helyett.) A kutatók céloztak rá, hogy az első kártyával kinyithatnak egy célszobát anélkül, hogy ki kellene találniuk annak egyedi azonosítóját, de azt nem akarták elárulni, hogy mit is csinál ez a kártya pontosan. Ezt a technikai elemet bizalmasan kezelik, hogy ne adjanak túl egyértelmű utasításkészletet a leendő betolakodóknak vagy tolvajoknak.
A hackerek visszaélhetnek a feltárt biztonsági résekkel
Ezzel szemben a 2012-es Black Hat konferencia egyik biztonsági kutatója egy hasonló szállodai kulcskártyás hackelést mutatott be, amely az Onity által eladott zárakat nyitotta meg – ő azonban minden részletet megosztott, így bármelyik hacker elkészíthetett egy eszközt, amely képes volt kinyitni az Onity 10 millió zárját világszerte. Amikor az Onity elutasította a probléma megoldásához szükséges hardverfrissítések kifizetését, és ehelyett ügyfeleire hárította a felelősséget, a probléma sok szállodában nem került megoldásra – amit végül legalább egy hacker ki is használt egy egész Amerikán átívelő betöréssorozatban.
Carroll és Wouters óvatos megközelítése ezt a helyzetet igyekszik elkerülni, miközben mégis figyelmeztetik a nyilvánosságot a technika létezésére. Ez azért is fontos, mert számos ingatlan valószínűleg továbbra is sebezhető marad a technikával szemben még úgy is, hogy a Dormakaba kínált megoldást. „Igyekszünk egy középutat találni, hogy segítsünk a Dormakabának a gyors javításban, ugyanakkor tájékoztatjuk a vendégeket is” – mondja Carroll. „Ha valaki ma visszafejti ezt és elkezd visszaélni vele még azelőtt, hogy az emberek tudomást szereznek róla, az még nagyobb problémát jelenthet.”
Mit tehet a vendég?
A kutatók szerint a szállodai vendégek sok esetben felismerhetik a sebezhető zárakat a jellegzetes tervezésük alapján. Ha a szállodai vendégeknek Saflok zár van az ajtójukon, ellenőrizhetik, hogy frissítették-e azt az NXP iOS-re vagy Androidra kínált NFC Taginfo alkalmazásával. Ha a zárat a Dormakaba gyártotta, és az alkalmazás azt mutatja, hogy a kulcskártya MIFARE Classic típusú, akkor az valószínűleg még mindig sebezhető.
Ebben a helyzetben a két kutató szerint nem sok mindent lehet tenni azon túl, hogy nem hagynak értékes dolgokat a szobában, illetve belülről beakasztják a biztonsági láncot. Ugyanakkor arra figyelmeztetnek, hogy a szoba belső zárszerkezete is a kulcskártya által vezérelt, így nem nyújt extra védelmet.
Wouters és Carroll szerint még egy tökéletes vagy teljesen implementált megoldás nélkül is jobb, ha a szállodai vendégek tisztában vannak a kockázatokkal, mintha hamis biztonságérzetben lennének. Bár a Dormakaba nem tud arról, hogy ezt a technikát a múltban alkalmazták volna, a kutatók rámutatnak, hogy ez nem jelenti azt, hogy soha nem történt meg titokban.
„Úgy gondoljuk, hogy a biztonsági rés már hosszú ideje létezik” – mondja Wouters. – „Valószínűtlen, hogy mi lennénk az elsők, akik rájöttek.”