近日黑客公布了一種被萬豪國際、華住酒店集團(tuán)、錦江酒店集團(tuán)、希爾頓酒店集團(tuán)、如家酒店集團(tuán)等全球知名酒店品牌廣泛采用的RFID感應(yīng)房卡門鎖的漏洞，黑客只需獲取任何一張酒店房卡，就可以復(fù)制出可打開該酒店所有房間的“萬能鑰匙”。

近日，安全研究人員Ian Carroll、Lennert Wouters及其團(tuán)隊披露了瑞士鎖具制造商Dormakaba生產(chǎn)的Saflok品牌RFID感應(yīng)房卡鎖存在的一系列安全漏洞（命名為Unsaflok）。

Saflok門鎖系統(tǒng)被萬豪國際、華住酒店集團(tuán)、錦江酒店集團(tuán)、希爾頓酒店集團(tuán)、如家酒店集團(tuán)等全球知名酒店廣泛采用，全球131個國家有13000個物業(yè)的300萬扇門安裝了Saflok門鎖。

可“秒開”全球數(shù)百萬酒店房間的“萬能房卡”

對Saflok房卡門鎖的破解始于2022年8月份拉斯維加斯舉行的黑客大會。在大會期間的一場私人活動中，一小部分研究人員受邀“合法”入侵一個拉斯維加斯酒店房間，他們在一個擠滿筆記本電腦和紅牛飲料的套房內(nèi)競賽，挖掘房間內(nèi)所有電子設(shè)備的漏洞，從電視到床邊的VoIP電話，無一幸免。

其中一組黑客（Carroll和Wouters的團(tuán)隊）將研究重點放在了房間門鎖上，這或許是酒店房間中最敏感的技術(shù)之一。時隔一年多，該團(tuán)隊終于公布了其研究成果：一種只需輕觸兩下即可打開全球數(shù)百萬酒店房間的技術(shù)。

利用Dormakaba加密系統(tǒng)和底層的MIFARE Classic RFID系統(tǒng)的漏洞，Carroll和Wouters成功破解了Saflok感應(yīng)房卡鎖。他們只需獲取目標(biāo)酒店的任意房卡（例如預(yù)訂房間或從廢棄房卡盒中拿走一張），然后使用價值300美元的RFID讀寫設(shè)備（包括Proxmark3、Flipper Zero和支持NFC的安卓智能手機(jī)）讀取該卡中的特定代碼，最后寫入兩張他們自己制作的房卡。只要將這兩張卡輕觸門鎖，第一張卡會重寫門鎖數(shù)據(jù)中的某一部分，第二張卡則會打開門鎖。

“只需輕觸兩下，我們就能打開門，”比利時魯汶大學(xué)計算機(jī)安全和工業(yè)密碼學(xué)研究小組的研究員Wouters說，“而且這種方法適用于酒店的每一扇門?！?/p>

僅有36%的Saflok門鎖修復(fù)漏洞

Wouters和Carroll早在2022年11月就將他們的破解技術(shù)細(xì)節(jié)完整地分享給了Dormakaba公司。Dormakaba表示，自2023年年初以來，他們向酒店客戶廣泛告知了Saflok的安全漏洞問題，并幫助客戶修復(fù)或更換易受攻擊的鎖具。對于過去八年內(nèi)銷售的大部分Saflok系統(tǒng)，無需單獨更換各個門鎖的硬件。酒店只需更新或更換前臺管理系統(tǒng)，并由技術(shù)人員逐門快速重新編程即可。

然而，Wouters和Carroll表示，Dormakaba告知他們，截至本月，只有36%的已安裝Saflok系統(tǒng)完成了更新。更糟糕的是，由于這些鎖具并非聯(lián)網(wǎng)設(shè)備，而且部分老式鎖具仍需進(jìn)行硬件升級，他們估計漏洞的完全修復(fù)至少還需要幾個月的時間，甚至有些老式系統(tǒng)可能需要數(shù)年才能完成（編者：這往往意味著很多門鎖壓根不會被修復(fù)）。

破解詳情：利用了兩種漏洞

Wouters和Carroll的研究小組的Dormakaba門鎖破解技術(shù)利用了兩種不同的漏洞：一種漏洞允許他們寫入房卡數(shù)據(jù)，另一種漏洞讓他們知道需要寫入哪些數(shù)據(jù)到房卡上才能成功欺騙Saflok門鎖使其打開。

在分析Saflok房卡時，研究者發(fā)現(xiàn)這些房卡使用的是MIFARE Classic RFID系統(tǒng)，該系統(tǒng)早在十多年以前就被發(fā)現(xiàn)存在漏洞，黑客可以通過該漏洞寫入房卡數(shù)據(jù)，不過暴力破解過程可能需要長達(dá)20秒的時間。然后，他們破解了Dormakaba加密系統(tǒng)的一部分，即所謂的密鑰派生函數(shù)，使他們能夠更快地寫入數(shù)據(jù)到房卡。利用上述技巧中的任何一種，研究人員都可以隨意復(fù)制Saflok房卡，但仍然無法生成可打開所有房間的“萬能房卡”。

接下來，最關(guān)鍵的破解步驟是獲取Dormakaba分發(fā)給酒店的門鎖編程設(shè)備（可從網(wǎng)上購買二手物品），以及用于管理房卡的前臺軟件副本。通過逆向工程該軟件，他們能夠讀取存儲在卡上的所有數(shù)據(jù)，提取酒店物業(yè)代碼以及每個房間的代碼，然后創(chuàng)建他們自己的值并使用Dormakaba系統(tǒng)的加密方式進(jìn)行加密，從而偽造一個可以打開酒店內(nèi)任何房間的萬能房卡。Wouters說道：“從本質(zhì)上講，你可以制作一張看起來像是由Dormakaba軟件創(chuàng)建的房卡?！?/p>

那么Carroll和Wouters是如何獲得Dormakaba的前臺軟件的呢？Wouters坦言道：“我們只需禮貌地向業(yè)內(nèi)人士打聽。而且，廠商通常認(rèn)為沒有人會將他們的設(shè)備在eBay上出售，也沒有人會復(fù)制他們的軟件。但我想每個人都知道，這些假設(shè)都是自欺欺人?！?/p>

一旦完成了所有逆向工程工作，最終的攻擊只需使用價值300美元的Proxmark RFID讀寫設(shè)備和幾張空白RFID卡、一部安卓手機(jī)或Flipper Zero無線電破解工具即可完成。

該技術(shù)的最大限制在于，黑客仍然需要一張目標(biāo)酒店房間的房卡（甚至是已過期的房卡）。這是因為每張卡都有一個他們需要讀取并復(fù)制到偽造卡上的特定物業(yè)代碼，以及目標(biāo)房間的代碼。

如何識別易受攻擊的門鎖？

Unsaflok漏洞影響多個Saflok型號，包括由System 6000或Ambiance軟件管理的Saflok MT、Quantum系列、RT系列、Saffire系列和Confidant系列。

Carroll和Wouters指出，酒店客人可以通過門鎖上讀卡區(qū)的設(shè)計特征（一個帶有波浪線圈的圓形RFID讀卡器）來識別是否易受攻擊的門鎖（但并非總是如此）。

兩個常見的易受攻擊的Saflok產(chǎn)品型號 圖片：unsaflok.com

研究者還建議，如果用戶發(fā)現(xiàn)入住酒店房間的門鎖是Saflok品牌，可用NXP開發(fā)的NFCTaginfo應(yīng)用程序（提供iOS和安卓兩種版本）檢查他們的房卡來確定是否已更新。如果門鎖由Dormakaba制造，并且該應(yīng)用程序顯示房卡仍然是MIFARE Classic卡，則很可能仍然存在漏洞。

安全建議：拴上防盜鏈

兩位研究人員建議，如果房卡存在漏洞，除了避免將貴重物品留在房間之外，在房間內(nèi)時務(wù)必栓上防盜鏈，因為門鎖上的保險栓也由房卡鎖控制，無法提供額外的安全保障。

即使目前全球有大量酒店房間并未完全實施修復(fù)方案，Wouters和Carroll認(rèn)為，讓酒店客人了解風(fēng)險總比讓他們產(chǎn)生虛假的安全感要好。畢竟，Saflok品牌已經(jīng)銷售了三十多年，并且可能在這些年的大部分或全部產(chǎn)品都存在漏洞。盡管Dormakaba表示他們沒有發(fā)現(xiàn)Wouters和Carroll的技術(shù)過去曾被使用過，但研究人員指出，這并不意味著它從未秘密發(fā)生過。

Wouters說道：“我們認(rèn)為這個漏洞已經(jīng)存在了很長時間?！薄拔覀儾豢赡苁堑谝粋€發(fā)現(xiàn)它的人?！?/p>