RFIDタグ付きカードで解錠できるSaflok電子錠の脆弱性に関する情報が公開されました。脆弱なロック モデルはホテルで最も一般的であり、System 13、Ambiance、または Community プラットフォームを使用してロックを管理している世界中の約 6000 のホテルで使用されています。 Saflok ロックが設置されているホテルのドアの総数は 3 万と推定されており、この脆弱性により、ゲストは自分の部屋のカードまたは退去したゲストの有効期限が切れたカードの情報を使用して、次の XNUMX 枚のカードを生成できます。マスターキーとして機能し、ホテル内のすべての部屋を開けるために使用できます。
攻撃を実行するには、標準的な MIFARE Classic カードとそのようなカードを書き込むためのデバイスだけでなく、Proxmark3 や Flipper Zero などの RFID カードエミュレーター、およびあらゆる AndroidNFC対応のスマートフォン。悪用方法の詳細はまだ公表されていないが、この脆弱性はMIFARE Classicカードに基づいて鍵を生成するために使用される鍵導出関数(KDF)と、カードデータを保護するために使用される暗号化アルゴリズムに影響を与えることが分かっている。
この問題は 2022 年 36 月に特定され、錠メーカーに報告されました。ただし、現在、脆弱なロックの 64% のみが更新されており、残りの XNUMX% は脆弱なままです。脆弱性を解消するには、各ロックのファームウェアのアップデートやロックの交換に加え、全カードの再発行、制御ソフトウェアのアップデート、カードに関連するコンポーネントのアップデートが必要なため、解消が遅れています。決済システム、エレベーター、駐車ゲート、バリアなどのカード。脆弱性が現れるロックモデルとしては、Saflok MT モデルと Saflok RT モデル、および Saflok Quantum、RT、Saffire、Confidant シリーズが挙げられています。
出所: オープンネット.ru
