Mae gwybodaeth wedi'i chyhoeddi am wendid mewn cloeon electronig Saflok, sy'n cael eu datgloi gyda cherdyn RFID. Y modelau clo bregus yw'r rhai mwyaf cyffredin mewn gwestai ac fe'u defnyddir mewn tua 13 o westai ledled y byd, sy'n defnyddio'r llwyfannau System 6000, Ambiance, neu Community i reoli eu cloeon. Amcangyfrifir bod cyfanswm y drysau gwesty sydd â chloeon Saflok wedi'u cyfarparu â 3 miliwn. Mae'r wendid yn caniatáu i westai, gan ddefnyddio gwybodaeth o'u cerdyn ystafell neu o gerdyn sydd wedi dod i ben gwestai sydd wedi ymadael, gynhyrchu dau gerdyn sy'n gweithredu fel allweddi meistr, y gellir eu defnyddio i agor pob ystafell yn y gwesty.
Gellir cynnal yr ymosodiad gan ddefnyddio nid yn unig gardiau MIFARE Classic safonol a dyfais ar gyfer ysgrifennu cardiau o'r fath, ond hefyd efelychwyr cardiau RFID fel Proxmark3 a Flipper Zero, yn ogystal ag unrhyw ffôn clyfar Android gyda chefnogaeth NFC. Nid yw manylion y dull ecsbloetio wedi'u rhyddhau eto, ond gwyddys bod y bregusrwydd yn effeithio ar y Swyddogaeth Deillio Allweddol (KDF) a ddefnyddir i gynhyrchu allweddi yn seiliedig ar gardiau MIFARE Classic, yn ogystal â'r algorithm amgryptio a ddefnyddir i amddiffyn data cardiau.
Nodwyd y broblem a'i hadrodd i wneuthurwr y cloeon ym mis Medi 2022. Fodd bynnag, dim ond 36% o gloeon bregus sydd wedi'u diweddaru, tra bod y 64% sy'n weddill yn parhau i fod yn fregus. Mae'r broses o drwsio'r bregusrwydd wedi'i gohirio oherwydd ei fod yn gofyn am ddiweddaru cadarnwedd pob clo neu amnewid y clo, yn ogystal ag ailgyhoeddi pob cerdyn, diweddaru'r feddalwedd rheoli, a diweddaru cydrannau cysylltiedig sy'n gysylltiedig â'r cardiau, megis systemau talu, lifftiau, gatiau parcio, a rhwystrau. Mae'r modelau cloeon yr effeithir arnynt yn cynnwys y Saflok MT a Saflok RT, yn ogystal â'r gyfres Saflok Quantum, RT, Saffire, a Confidant.
Ffynhonnell: opennet.ru
