RFIDタグ付きカードで解錠できるSaflok電子錠の脆弱性に関する情報が公開されました。脆弱なロック モデルはホテルで最も一般的であり、System 13、Ambiance、または Community プラットフォームを使用してロックを管理している世界中の約 6000 のホテルで使用されています。 Saflok ロックが設置されているホテルのドアの総数は 3 万と推定されており、この脆弱性により、ゲストは自分の部屋のカードまたは退去したゲストの有効期限が切れたカードの情報を使用して、次の XNUMX 枚のカードを生成できます。マスターキーとして機能し、ホテル内のすべての部屋を開けるために使用できます。
攻撃を実行するには、標準の MIFARE Classic カードとそのようなカードに書き込むためのデバイスだけでなく、Proxmark3 や Flipper Zero などの RFID カード エミュレーター、および NFC をサポートする Android スマートフォンも使用できます。悪用方法に関する詳細な情報はまだ報告されていませんが、わかっていることは、この脆弱性が MIFARE Classic カードに基づいてキーを生成するために使用されるキー生成機能 (KDF、Key Derivation Function) と、使用される暗号化アルゴリズムに影響を与えるということだけです。カード上のデータを保護します。
この問題は 2022 年 36 月に特定され、錠メーカーに報告されました。ただし、現在、脆弱なロックの 64% のみが更新されており、残りの XNUMX% は脆弱なままです。脆弱性を解消するには、各ロックのファームウェアのアップデートやロックの交換に加え、全カードの再発行、制御ソフトウェアのアップデート、カードに関連するコンポーネントのアップデートが必要なため、解消が遅れています。決済システム、エレベーター、駐車ゲート、バリアなどのカード。脆弱性が現れるロックモデルとしては、Saflok MT モデルと Saflok RT モデル、および Saflok Quantum、RT、Saffire、Confidant シリーズが挙げられています。
出所: オープンネット.ru