Handig die sleutelkaarten in hotels of toch niet?

Sleutelkaarten hotels

Sleutelkaarten hotels (afb: dormakaba.com)

Webveiligheidsonderzoekers hebben een techniek ontwikkeld om Safloksloten te openen die in duizenden hotels over de hele wereld worden gebruikt. Het gaat om driemiljoen kamerdeuren en tot nu toe is pas iets meer dan een derde (36%) bijgewerkt zodat deze deze truc daar niet meer werkt.
Elk jaar komen webbeveiligers samen in Las Vegas voor de Black Hat- en Defconcongressen. Tijdens hun verblijf in de stad testten enkelen van hen, als ze er dan toch waren, de veiligheid van de verschillende voorzieningen die ze tegenkomen. In augustus 2022 probeerden die het kaartsysteem uit dat de gasten toegang geeft tot hun hotelkamers. Ze ontdekten een ernstige fout in dat systeem waardoor ze elk slot van dit type Safloksloten konden openen.
Het gaat om ruim drie miljoen sloten, in ruim 13 000 hotels over de hele wereld. Die maken allemaal gebruik van het Saflok-systeem. De onderzoekers noemden hun techniek om ze te openen daarom Unsaflok. Om al die deuren te openen hoefden ze alleen maar een speciaal gemaakte kaart te gebruiken om het slot opnieuw te programmeren. Dat werkte zelfs zelfs als de handmatige vergrendeling was ingeschakeld.

Oude sleutelkaart

Om de sloten van een hotel succesvol te kunnen kraken, moesten de nieuwsgierige webbeveiligers een bestaande sleutelkaart zien te bemachtigen; een oude, gebruikte was al genoeg. Ze kwamen in het bezit van een coderingseenheid die gewoonlijk alleen onder hotels wordt verspreid.

Ze slaagden erin programmatuur te maken om daar verbinding mee te krijgen. Daardoor konden ze de identificatie van het bewuste hotel ophalen en de twee kaarten (een om de code van het slot te veranderen en de andere om de deur te openen) aanmaken met behulp van een Proxmark RFID-box. Met die twee kaarten konden ze vervolgens alle deuren van het hotel openen.

Onderzoekers waarschuwden in september 2022 Dormakaba, de maker van Saflok-sloten en gingen samen met het bedrijf op zoek naar een oplossing. Dormakaba begon in november vorig jaar met het distribueren van de verbeterde programmatuur, maar die nieuwe versie installeren zou erg ‘bewerkelijk’ zijn. Elk slot moet worden bijgewerkt of gewijzigd en de programmatuur van de receptie en de kaartenlezer/schrijver moet ook worden bijgewerkt. Alle kaarten moeten opnieuw worden aangemaakt.
Tot op heden is slechts 36% van de sloten vernieuwd of vervangen. Daarom zullen de ‘inbrekers’ pas later details over de geconstateerde fout komen.

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.