Mit bestimmten Android-Telefonen können 3 Millionen Hotelzimmer in 161 Ländern eröffnet werden

0

Im Jahr 2022 wurden Forscher in Las Vegas bei einer privaten Veranstaltung gebeten, sich in ein Hotelzimmer in Las Vegas zu hacken. Zusätzlich zu der Frage, ob sie das digitale Türschloss überwinden könnten, versuchten sie, Schwachstellen in anderen Geräten im Raum zu finden. Eine Gruppe von Forschern konzentrierte sich darauf, die Tür eines Hotelzimmers zum Öffnen zu bringen. Jetzt, im Jahr 2024, wurde eine Methode entdeckt, die es Nutzern eines Android-Telefons ermöglichen würde, in nur wenigen Sekunden Millionen von Hotelzimmern weltweit zu eröffnen.
Entsprechend Verdrahtetenthüllt ein Team von Sicherheitsforschern einen Hotel-Keycard-Hack, den sie nennen Unsaflok. Diese Sicherheitslücke betrifft die elektronischen RFID-Schlösser Saflok eines Unternehmens namens Dormakaba. Mit dem Hack können über drei Millionen Hotelzimmer in über 13.000 Hotels in 161 Ländern freigeschaltet werden. Die Forscher nutzten Mängel in der Verschlüsselung und dem RFID-System von Dormakaba aus.

Der Prozess funktioniert so. Die Hacker besorgen sich vom Zielhotel eine Schlüsselkarte für jedes Zimmer. Dies kann durch die Buchung eines Zimmers oder die Übernahme eines gebrauchten Zimmers erfolgen. Mit einem RFID-Schreib-Lesegerät (das 300 US-Dollar kosten kann) wird ein Code von der Karte gelesen und zwei Schlüsselkarten erstellt. Wenn die beiden Karten auf das Schloss getippt werden, schreibt die erste einen Teil der Schlossdaten neu und die zweite öffnet die Tür.

Von links nach rechts sind Saflok MT und Saflok RT Plus die beiden am stärksten betroffenen Schlösser. Mit bestimmten Android-Telefonen können 3 Millionen Hotelzimmer in 161 Ländern geöffnet werden

Von links nach rechts sind Saflok MT und Saflok RT Plus die beiden am stärksten betroffenen Schlösser

Wenn Sie jedoch eine haben Android Telefon das Near-Field Communication (NFC) unterstützt, können die beiden Schlüsselkarten durch die ersetzt werden Android Telefon. Laden Sie eine signalgebende App herunter und das Telefon kann zum Aussenden eines Signals verwendet werden, das anstelle der beiden Schlüsselkarten zum Entriegeln der Tür verwendet wird.

Bereits 2012 beschrieb ein Hacker auf der Black Hat-Konferenz in Vegas einen Hack, der eine Schwachstelle ausnutzen konnte, die in 10 Millionen Schlössern einer Firma namens Onity gefunden wurde. Letzterer weigerte sich, für die Erneuerung der Schlösser zu zahlen und überließ es den Hotels, etwaige Änderungen vorzunehmen. Das war ein schlechter Schachzug, da Kriminelle diesen Trick nutzten, um in Hotelzimmer einzubrechen und die Gäste auszurauben.

Dieses Mal entschied sich das Unsaflok-Team, nicht den gesamten Hack der Öffentlichkeit preiszugeben. Hacker Ian Carroll sagte: „Wir versuchen, einen Mittelweg zu finden, indem wir Dormakaba dabei helfen, das Problem schnell zu beheben, aber auch, den Gästen davon zu erzählen. Wenn jemand anders das heute rückentwickelt und anfängt, es auszunutzen, bevor die Leute es bemerken, dann könnte das der Fall sein.“ ein noch größeres Problem.“

Dormakaba sagte gegenüber Wired: „Wir haben eng mit unseren Partnern zusammengearbeitet, um eine sofortige Abhilfe für diese Schwachstelle sowie eine längerfristige Lösung zu finden und umzusetzen. Unsere Kunden und Partner nehmen die Sicherheit alle sehr ernst und wir sind zuversichtlich, dass alle angemessenen Schritte unternommen werden.“ Wir sind dazu verpflichtet, diese Angelegenheit verantwortungsvoll anzugehen.“

source site-33