Araştırmacılar bugün, dünya çapında 13.000 otel ve evde kullanılan 3 milyon Saflok elektronik RFID kilidini etkileyen ve araştırmacıların bir çift anahtar kartını taklit ederek bir oteldeki herhangi bir kapının kilidini kolayca açmasına olanak tanıyan güvenlik açıklarını açıkladı.
“Unsaflok” olarak adlandırılan bir dizi güvenlik açığı, Eylül 2022'de araştırmacılar Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, Shell ve Will Caruana tarafından keşfedildi.
İlk olarak Wired tarafından bildirildiği üzere araştırmacılar Las Vegas'ta özel bir hackleme etkinliğine davet edildiler; burada bir otel odasındaki ve içindeki tüm cihazlardaki güvenlik açıklarını bulmak için diğer ekiplerle yarıştılar.
Araştırma ekibi, otel odasının Saflok elektronik kilidindeki güvenlik açıklarını bulmaya ve otel içindeki herhangi bir kapıyı açabilecek güvenlik kusurlarını keşfetmeye odaklandı.
Araştırmacılar bulgularını Kasım 2022'de üretici Dormakaba'ya açıklayarak satıcının sorunu hafifletmeye yönelik çalışmalar yapmasına ve otelleri sorunu duyurmadan güvenlik riski konusunda bilgilendirmesine olanak tanıdı.
Ancak araştırmacılar, kusurların 36 yılı aşkın bir süredir mevcut olduğunu, dolayısıyla vahşi doğada onaylanmış herhangi bir sömürü vakası olmasa da, kapsamlı maruz kalma süresinin bu olasılığı artırdığını belirtiyor.
Unsaflok ekibi, “Bu güvenlik açıklarını kullanan herhangi bir gerçek dünya saldırısının farkında olmasak da, bu güvenlik açıklarının başkaları tarafından bilinmesi ve kullanılmış olması imkansız değildir” diye açıklıyor.
Bugün araştırmacılar, Unsaflok güvenlik açıklarını ilk kez kamuoyuna açıkladılar ve bunların Saflok sistemini kullanan neredeyse 3 milyon kapıyı etkilediği konusunda uyarıda bulundular.
Unsaflok kusurları
Unsaflok, birbirine zincirlendiğinde bir saldırganın bir çift sahte anahtar kartı kullanarak bir mülkteki herhangi bir odanın kilidini açmasına olanak tanıyan bir dizi güvenlik açığıdır.
Saldırganın, istismarı başlatmak için mülkteki yalnızca bir anahtar kartını okuması yeterlidir; bu, kendi odasındaki anahtar kart olabilir.
Araştırmacılar, Dormakaba'nın ön büro yazılımı ve kilit programlama cihazında tersine mühendislik yaparak mülkteki herhangi bir odayı açabilecek çalışan bir ana anahtarın nasıl taklit edileceğini öğrendiler. Kartları klonlamak için Dormakaba'nın anahtar türetme fonksiyonunu kırmaları gerekiyordu.
Sahte anahtar kartları, herhangi bir MIFARE Classic kartı ve Poxmark3, Flipper Zero ve NFC özellikli bir Android akıllı telefon dahil olmak üzere bu kartlara veri yazabilen ticari olarak temin edilebilen herhangi bir araç kullanılarak oluşturulabilir.
Saldırıda kullanılan iki kartı oluşturmak için gereken ekipmanın maliyeti birkaç yüz dolardan az.
Kusurlardan yararlanırken, aşağıdaki videoda gösterildiği gibi, ilk kart kilidin verilerini yeniden yazar ve ikincisi kilidi açar.
Araştırmacılar, çeşitli mülklerin sistemlerini yükseltmelerine zaman tanımak amacıyla şu anda daha fazla teknik ayrıntı sunmadılar.
Geniş bir etki
Unsaflok kusurları, aralarında Saflok MT, Quantum Serisi, RT Serisi, Saffire Serisi ve System 6000 veya Ambiance yazılımı tarafından yönetilen Confidant Serisinin de bulunduğu birden fazla Saflok modelini etkiliyor.
Etkilenen modeller 131 ülkede 13.000 mülkte üç milyon kapıda kullanılıyor ve üretici kusuru gidermek için aktif olarak çalışırken, süreç karmaşık ve zaman alıcı.
Araştırmacılar, Dormakaba'nın etkilenen kilitleri değiştirmeye/yükseltmeye Kasım 2023'te başladığını, bunun da tüm kartların yeniden basılmasını ve kodlayıcılarının yükseltilmesini gerektirdiğini söylüyor. Mart 2024 itibarıyla kilitlerin %64'ü savunmasız durumda.
Araştırmacıların gönderisinde “Otel personelinin ve misafirlerin potansiyel güvenlik endişesinden haberdar olmalarını sağlamak için şu anda güvenlik açığıyla ilgili sınırlı bilgiyi açıklıyoruz” deniyor.
“Otellerin çoğunun iyileştirilmesi uzun bir zaman alacak.”
Ayrıca, kötü amaçlı anahtar kartlarının sürgüyü geçersiz kılabileceği, dolayısıyla güvenlik önleminin yetkisiz girişi engellemeye yetmediği de belirtiliyor.
Otel personeli, kilidin giriş/çıkış kayıtlarını denetleyerek aktif istismar olaylarını tespit edebilir. Ancak bu veriler yetkisiz erişimi doğru bir şekilde tespit etmek için hala yeterli olmayabilir.
Misafirler, telefonlarından anahtar kartı türlerini kontrol etmek için NFC Taginfo uygulamasını (Android, iOS) kullanarak odalarındaki kilitlerin savunmasız olup olmadığını belirleyebilirler. MIFARE Classic kartları olası bir güvenlik açığına işaret ediyor.
Araştırmacılar, gelecekte iyileştirme çabaları tatmin edici seviyelere ulaştığında Unsaflok saldırısının tüm ayrıntılarını paylaşacaklarına söz verdiler.