Maklumat telah diterbitkan tentang kelemahan dalam kunci elektronik Saflok, yang dibuka dengan kad RFID. Model kunci mudah terjejas adalah yang paling biasa di hotel dan digunakan di kira-kira 13 hotel di seluruh dunia, yang menggunakan platform Sistem 6000, Suasana atau Komuniti untuk mengawal kunci mereka. Jumlah pintu hotel yang dilengkapi dengan kunci Saflok dianggarkan sebanyak 3 juta. Kerentanan itu membolehkan tetamu, menggunakan maklumat daripada kad bilik mereka atau daripada kad tetamu yang telah tamat tempoh, menjana dua kad yang bertindak sebagai kunci utama, yang boleh digunakan untuk membuka semua bilik di hotel.
Untuk menjalankan serangan, anda bukan sahaja boleh menggunakan kad MIFARE Classic biasa dan peranti untuk menulis kad tersebut, tetapi juga emulator kad RFID seperti Proxmark3 dan Flipper Zero, serta mana-mana Android- telefon pintar dengan sokongan NFC. Butiran tentang kaedah eksploitasi masih belum dikeluarkan, tetapi diketahui bahawa kerentanan tersebut mempengaruhi Fungsi Penentuan Kunci (KDF) yang digunakan untuk menghasilkan kunci berdasarkan kad MIFARE Classic, serta algoritma penyulitan yang digunakan untuk melindungi data kad.
Isu ini telah dikenal pasti dan dilaporkan kepada pengilang kunci pada September 2022. Walau bagaimanapun, hanya 36% kunci terdedah telah dikemas kini, manakala baki 64% kekal terdedah. Membetulkan kerentanan ditangguhkan kerana ia memerlukan pengemaskinian perisian tegar setiap kunci atau menggantikan kunci, serta mengeluarkan semula semua kad, mengemas kini perisian kawalan dan mengemas kini komponen berkaitan yang dipautkan kepada kad, seperti sistem pembayaran, lif, pagar tempat letak kereta dan sekatan. Model kunci yang terjejas termasuk Saflok MT dan Saflok RT, serta siri Saflok Quantum, RT, Saffire dan Confidant.
Sumber: opennet.ru
