黑客披露 万能房卡 可秒开环球数百万酒店房间 破绽

近日黑客发布了一种被万豪国内、华住酒店团体、锦江酒店团体、希尔顿酒店团体、如家酒店团体等环球知名酒店品牌宽泛驳回的RFID感应房卡门锁的破绽，黑客只需失掉任何一张酒店房卡，就可以复制出可关上该酒店一切房间的“万能钥匙”。

近日，安保钻研人员Ian Carroll、Lennert Wouters及其团队披露了瑞士锁具制造商Dormakaba消费的Saflok品牌RFID感应房卡锁存在的一系列安保破绽（命名为Unsaflok）。

Saflok门锁系统被万豪国内、华住酒店团体、锦江酒店团体、希尔顿酒店团体、如家酒店团体等环球知名酒店宽泛驳回，环球131个国度有13000个物业的300万扇门装置了Saflok门锁。

可“秒开”环球数百万酒店房间的“万能房卡”

对Saflok房卡门锁的破解始于2022年8月份拉斯维加斯举办的黑客大会。在大会时期的一场公家优惠中，一小局部钻研人员受邀“合法”入侵一个拉斯维加斯酒店房间，他们在一个挤满笔记本电脑和红牛饮料的套房内比赛，开掘房间内一切电子设备的破绽，从电视到床边的VoIP电话，无一幸免。

其中一组黑客（Carroll和Wouters的团队）将钻研重点放在了房间门锁上，这或者是酒店房间中最敏感的技术之一。时隔一年多，该团队终于发布了其钻研成绩：一种只需轻触两下即可关上环球数百万酒店房间的技术。

应用Dormakaba加密系统和底层的MIFARE Classic RFID系统的破绽，Carroll和Wouters成功破解了Saflok感应房卡锁。他们只需失掉指标酒店的恣意房卡（例如预订房间或从废除房卡盒中拿走一张），而后经常使用价值300美元的RFID读写设备（包含Proxmark3、Flipper Zero和支持NFC的安卓自动手机）读取该卡中的特定代码，最后写入两张他们自己制造的房卡。只需将这两张卡轻触门锁，第一张卡会重写门锁数据中的某一局部，第二张卡则会关上业锁。

“只需轻触两下，咱们就能关上业，”比利时鲁汶大学计算机安保和工业明码学钻研小组的钻研员Wouters说，“而且这种方法实用于酒店的每一扇门。”

仅有36%的Saflok门锁修复破绽

Wouters和Carroll早在2022年11月就将他们的破解技术细节完整地分享给了Dormakaba公司。Dormakaba示意，自2023年年终以来，他们向酒店客户宽泛告知了Saflok的安保破绽疑问，并协助客户修复或改换易受攻打的锁具。关于过去八年内开售的大局部Saflok系统，无需独自改换各个门锁的配件。酒店只需更新或改换前台治理系统，并由技术人员逐门极速从新编程即可。

但是，Wouters和Carroll示意，Dormakaba告知他们，截至本月，只要36%的已装置Saflok系统实现了更新。更蹩脚的是，由于这些锁具并非联网设备，而且局部老式锁具仍需启动配件更新，他们预计破绽的齐全修复至少还须要几个月的时期，甚至有些老式系统或者须要数年能力实现（编者：这往往象征着很多门锁压根不会被修复）。

破解概略：应用了两种破绽

Wouters和Carroll的钻研小组的Dormakaba门锁破解技术应用了两种不同的破绽：一种破绽准许他们写入房卡数据，另一种破绽让他们知道须要写入哪些数据到房卡上能力成功诈骗Saflok门锁使其关上。

在剖析Saflok房卡时，钻研者发现这些房卡经常使用的是MIFARE Classic RFID系统，该系统早在十多年以前就被发现存在破绽，黑客可以经过该破绽写入房卡数据，不过暴力破解环节或者须要长达20秒的时期。而后，他们破解了Dormakaba加密系统的一局部，即所谓的密钥派生函数，使他们能够更快地写入数据到房卡。应用上述技巧中的任何一种，钻研人员都可以轻易复制Saflok房卡，但依然无法生成可关上一切房间的“万能房卡”。

接上去，最主要的破解步骤是失掉Dormakaba散发给酒店的门锁编程设备（可从网上购置二手东西），以及用于治理房卡的前台软件正本。经过逆向工程该软件，他们能够读取存储在卡上的一切数据，提取酒店物业代码以及每个房间的代码，而后创立他们自己的值并经常使用Dormakaba系统的加密模式启动加密，从而伪造一个可以关上酒店内任何房间的万能房卡。Wouters说道：“从实质上讲，你可以制造一张看起来像是由Dormakaba软件创立的房卡。”

那么Carroll和Wouters是如何取得Dormakaba的前台软件的呢？Wouters坦言道：“咱们只需礼貌地向业内人士打听。而且，厂商通常以为没有人会将他们的设备在eBay上发售，也没有人会复制他们的软件。但我想每团体都知道，这些假定都是掩耳盗铃。”

一旦实现了一切逆向工程上班，最终的攻打只需经常使用价值300美元的Proxmark RFID读写设备和几张空白RFID卡、一部安卓手机或Flipper Zero无线电破解工具即可实现。

该技术的最大限度在于，黑客依然须要一张指标酒店房间的房卡（甚至是已过时的房卡）。这是由于每张卡都有一个他们须要读取并复制到伪造卡上的特定物业代码，以及指标房间的代码。

如何识别易受攻打的门锁？

Unsaflok破绽影响多个Saflok型号，包含由System 6000或Ambiance软件治理的Saflok MT、Quantum系列、RT系列、Saffire系列和Confidant系列。

Carroll和Wouters指出，酒店主人可以经过门锁上读卡区的设计特色（一个带有波浪线圈的圆形RFID读卡器）来识别能否易受攻打的门锁（但并非总是如此）。

两个经常出现的易受攻打的Saflok产品型号图片：unsaflok.com

钻研者还倡导，假设用户发现入住酒店房间的门锁是Saflok品牌，可用NXP开发的NFCTaginfo运行程序（提供iOS和安卓两种版本）审核他们的房卡来确定能否已更新。假设门锁由Dormakaba制造，并且该运行程序显示房卡依然是MIFARE Classic卡，则很或者依然存在破绽。

安保倡导：拴上防盗链

两位钻研人员倡导，假设房卡存在破绽，除了防止将珍贵东西留在房间之外，在房间内时务必栓上防盗链，由于门锁上的保险栓也由房卡锁控制，无法提供额外的安保保证。

即使目前环球有少量酒店房间并未齐全实施修复打算，Wouters和Carroll以为，让酒店主人了解危险总比让他们发生虚伪的安保感要好。毕竟，Saflok品牌曾经开售了三十多年，并且或者在这些年的大局部或所有产品都存在破绽。虽然Dormakaba示意他们没有发现Wouters和Carroll的技术过去曾被经常使用过，但钻研人员指出，这并不象征着它从未秘密出现过。

Wouters说道：“咱们以为这个破绽曾经存在了很长时期。”“咱们无法能是第一个发现它的人。”