Un trucco che, nelle mani sbagliate, potrebbe diventare un problema per tutti gli hotel dotati di porte con serrature elettroniche. Perché un hacker di recente ha raccontato un sistema che permetterebbe a qualsiasi smartphone Android di diventare un passepartout.
Un sistema che, come per tutte le attività di hacking, avrà vita breve, visto che la cybersecurity si aggiorna costantemente. Ma questo non significa che non potrebbe venire sfruttato anche ora, ai danni di un hotel vero e proprio.
Come aprire tutte le porte di un hotel col proprio smartphone Android
Lo riferisce Techspot: una falla di sicurezza nelle serrature elettroniche RFID Saflok di Dormakaba, popolari tra gli hotel che usano questo tipo di serrature elettroniche. Scoperta da alcuni ricercatori durante una conferenza di hacking tenutasi a Las Vegas nel 2022, essi hanno immediatamente informato Dormakaba. Ma pur avendo ideato una soluzione, l’azienda è riuscita al momento a riparare e sostituire solo il 36% delle serrature interessate, precisa Techspot.
Ma come funziona? Basta soltanto utilizzare una chiave magnetica MIFARE Classic autentica – attiva o scaduta – e qualsiasi dispositivo in grado di scrivere dati su una carta. Come Flipper Zero, Prixmark3 e qualsiasi telefono Android dotato di NFC.
Un trucco assurdo, perché con una singola carta falsa si può aprire qualsiasi porta dell’hotel che ha prodotto l’originale. Teoricamente, riporta Techspot, l’unico modo per verificare l’utilizzo di questa chiave magnetica contraffatta è guardare i registri di entrata/uscita della serratura utilizzando un dispositivo HH6.
I danni di questo trucco
Questo trucco potrebbe diventare un grosso problema, perché colpisce diversi sistemi come:
- Saflok MT,
- Quantum Series,
- RT Series,
- Saffire Series,
- Confidant Series.
Ovvero, oltre tre milioni di serrature di camere d’albergo in 13.000 edifici in 131 paesi, tutti vulnerabili a un exploit che consente agli aggressori di falsificare le chiavi principali di qualsiasi porta.
E non è nemmeno facile arginare il problema, visto che richiede l’aggiornamento o la sostituzione di un sacco di dispositivi e strumenti, quali serrature, software di gestione, carte, codificatori di chiavi magnetiche e dispositivi integrati di terze parti come ascensori, porte di garage e sistemi di pagamento.
La risposta di Dormakaba
Riportiamo inoltre la seguente dichiarazione del team PR di dormakaba in merito alla questione:
“Non appena siamo stati informati della vulnerabilità da un gruppo di ricercatori di sicurezza esterni, abbiamo avviato un’indagine approfondita, e abbiamo dato priorità allo sviluppo e all’implementazione di una soluzione di mitigazione. Non siamo a conoscenza di casi segnalati di sfruttamento di questo problema fino ad oggi. Nel mentre stiamo collaborando con i ricercatori per far sì che si evidenzi come si stanno evolvendo i rischi esistenti con la tecnologia RFID legacy, in modo che altri possano adottare misure precauzionali. Apprezziamo la divulgazione responsabile e l’approccio collaborativo adottato dai ricercatori che hanno condiviso il nostro obiettivo di proteggere gli utenti e rafforzare la tecnologia di sicurezza durante questo processo.”
