3 milhões de fechaduras em 131 países podem ser abertas com NFC de um telefone Android
Você pode não saber, mas descobrir vulnerabilidades em software é uma indústria inteira e é com isso que os hackers de chapéu branco ganham dinheiro. Conforme relatado pela WIRED, alguns pesquisadores de segurança acabam de revelar uma grande vulnerabilidade que encontraram nas fechaduras Saflok fabricadas pela marca Dormakaba.
Aqui está o que os pesquisadores tiveram que fazer. Ao obter um cartão para qualquer um dos quartos de um hotel e emparelhá-lo com um dispositivo de leitura e gravação RFID específico (não muito barato, então nem todo Joe aleatório fará isso), eles podem ler o código do cartão-chave e escrever isso código para dois cartões-chave separados. Ao tocar esses dois cartões na fechadura, um reescreve parte do código da fechadura e o outro abre a porta. Eles chamam essa técnica de Unsaflok (inteligente). E não, isso não se limita à porta para a qual se destinava o cartão-chave. Funciona em todos os Saflok do hotel.
Mas aqui está o problema: você não precisa necessariamente usar esses dois cartões-chave. Suponha que você tenha um telefone Android com suporte para NFC (um recurso introduzido no Android em 2011, que essencialmente todos os telefones principais e intermediários possuem); nesse caso, você pode simplesmente baixar um aplicativo emissor de sinal, alimentá-lo com o código apropriado e ele transmitirá o sinal necessário em vez de ter que usar esses cartões-chave. Os telefones Android têm suporte para entrada sem chave há algum tempo, mas de uma forma mais legal.
O chutador? Em 13.000 estabelecimentos diferentes em 131 países, três milhões de quartos de hotel utilizam estas fechaduras modelo Saflok. Isso significa que cada uma dessas salas é potencialmente suscetível a essa vulnerabilidade, pelo menos até serem corrigidas.
Falando em patches, qual é o remédio para essa revelação insegura?
Bem, o bom é que os hackers que descobriram isso não estão em busca de sangue. Em vez disso, eles compartilharam suas descobertas com Dormakaba em novembro de 2022 e, como resultado, há uma correção para os bloqueios afetados.
Os hotéis que utilizam modelos Saflok precisarão apenas atualizar o software da recepção e cada fechadura precisará ser reprogramada por um técnico, mas este é um procedimento rápido. No entanto, neste momento, pouco mais de um terço de todos os Safloks instalados foram atualizados adequadamente, o que significa que ainda existem milhões destes bloqueios em todo o mundo que ainda podem ser hackeados desta forma.
Estima-se que ainda levará vários meses até que a maioria dos Safloks sejam corrigidos contra essa exploração, mas, felizmente, os detalhes completos da vulnerabilidade nunca foram divulgados, então os visitantes não precisam perder (muito) o sono por causa disso. ainda.