关键词
黑客攻击
每年八月,当成千上万的安全研究人员来到拉斯维加斯参加后来被称为“黑客夏令营”的活动时,黑帽和Defcon黑客会议的背靠背,他们中的一些人将尝试入侵拉斯维加斯本身的基础设施,这是该市精心设计的赌场和酒店技术。但在 2022 年的一次私人活动中,一组精选的研究人员实际上被邀请入侵拉斯维加斯的一家酒店房间,在一个挤满了笔记本电脑和红牛罐头的套房里比赛,以发现房间的每一个小工具中的数字漏洞,从电视到床边的 VoIP 电话。
那些日子里,一个黑客团队专注于房间门上的锁,这可能是最敏感的技术。现在,一年半多过去了,他们终于公布了这项工作的成果:他们发现了一种技术,可以让入侵者在几秒钟内打开全球数百万个酒店房间中的任何一个,只需轻点两下。
今天,伊恩·卡罗尔(Ian Carroll),伦纳特·沃特斯(Lennert Wouters)和其他安全研究人员团队正在揭示一种他们称之为Unsaflok的酒店钥匙卡黑客技术。该技术是一系列安全漏洞,允许黑客几乎立即打开瑞士锁具制造商Dormakaba销售的几种基于RFID的Saflok品牌钥匙卡锁。Saflok 系统安装在全球 131 个国家/地区的 13,000 家酒店内的 300 万扇门上。
通过利用 Dormakaba 的加密和 Dormakaba 使用的底层 RFID 系统(称为 MIFARE Classic)中的弱点,Carroll 和 Wouters 展示了他们打开 Saflok 钥匙卡锁的难度。他们的技术从从目标酒店获取任何钥匙卡开始——比如说,在那里预订房间或从一盒二手钥匙卡中拿出一张钥匙卡——然后用价值 300 美元的 RFID 读写设备从该卡中读取特定代码,最后写出两张他们自己的钥匙卡。当他们只是在锁上点击这两张卡时,第一张卡会重写锁的某一段数据,而第二张卡会打开它。
“快速点击两下,我们就打开了门,”比利时鲁汶大学计算机安全和工业密码学小组的研究员Wouters说。“这适用于酒店的每一扇门。”
研究人员演示他们的锁黑客技术的视频。(在研究人员的要求下,锁上显示的灯光图案一度被编辑,以避免泄露他们同意Dormakaba不公开的技术细节。视频:伊恩·卡罗尔
2022 年 11 月,独立安全研究员、旅游网站 Seats.aero 创始人 Wouters 和 Carroll 与 Dormakaba 分享了他们黑客技术的全部技术细节。Dormakaba表示,自去年年初以来,它一直在努力让使用Saflok的酒店意识到他们的安全漏洞,并帮助他们修复或更换易受攻击的锁。对于过去八年中销售的许多 Saflok 系统,每个单独的锁都不需要更换硬件。取而代之的是,酒店只需要更新或更换前台管理系统,并让技术人员对每把锁进行相对快速的重新编程,逐个门。
沃特斯和卡罗尔说,尽管如此,Dormakaba告诉他们,截至本月,只有36%的已安装Safloks得到了更新。鉴于这些锁没有连接到互联网,一些较旧的锁仍然需要硬件升级,他们表示,至少要花几个月的时间才能推出完整的修复程序。一些较旧的安装可能需要数年时间。
“我们已经与我们的合作伙伴密切合作,确定并实施针对此漏洞的即时缓解措施,以及长期解决方案,”Dormakaba在一份声明中写道,尽管它拒绝详细说明“立即缓解”可能是什么。“我们的客户和合作伙伴都非常重视安全问题,我们相信将采取一切合理措施,以负责任的方式解决这一问题。
Wouters和Carroll的研究小组发现的破解Dormakaba锁的技术涉及两种不同的漏洞:一种允许他们写入其钥匙卡,另一种允许他们知道将哪些数据写入卡以成功诱骗Saflok锁打开。当他们分析Saflok钥匙卡时,他们发现他们使用的是MIFARE Classic RFID系统,该系统十多年来一直存在漏洞,允许黑客写入钥匙卡,尽管暴力过程可能需要长达20秒。然后,他们破解了Dormakaba自己的加密系统的一部分,即所谓的密钥派生功能,这使他们能够更快地写入其卡。通过这些技巧中的任何一个,研究人员都可以随意复制Saflok钥匙卡,但仍然不能为不同的房间生成一张。
研究人员更关键的一步是,他们获得了Dormakaba分发给酒店的锁编程设备之一,以及用于管理钥匙卡的前台软件的副本。通过对该软件进行逆向工程,他们能够理解存储在卡片上的所有数据,提取酒店物业代码以及每个房间的代码,然后创建自己的值并像 Dormakaba 的系统一样对其进行加密,允许他们欺骗一个有效的万能钥匙,打开酒店的任何房间。“从本质上讲,你可以制作一张看起来真的像是由 Dormakaba 的软件创建的卡片,”Wouters 说。
Carroll 和 Wouters 是如何获得 Dormakaba 的前台软件的?“我们很好地询问了几个人,”沃特斯说。“制造商假设没有人会在eBay上出售他们的设备,也没有人会复制他们的软件,我想每个人都知道,这些假设并不真正有效。
一旦他们完成了所有这些逆向工程工作,他们攻击的最终版本就可以完成,只需一个 300 美元的 Proxmark RFID 读写设备和几张空白 RFID 卡、一部 Android 手机或一个 Flipper Zero 无线电黑客工具。
A Saflok branded lock.
摄影:DORMAKABA
黑客的Unsaflok技术最大的警告是,它仍然要求他们拥有一张钥匙卡 - 甚至是过期的钥匙卡 - 用于与目标房间位于同一酒店某处的房间。这是因为每张卡都有一个特定于住宿的代码,他们需要读取这些代码,然后复制到他们的欺骗卡上,以及一个特定于房间的代码。
一旦他们拥有了该属性代码,该技术还需要使用RFID读写设备来写入两张卡 - 一张卡用于重新编程目标锁,另一张卡用于解锁它。(研究人员说,Android手机或Flipper Zero也可以用来发射一个接一个的信号,而不是两张卡。研究人员暗示,第一张卡允许他们打开一个目标房间,而无需猜测其在酒店系统中的唯一标识符,但拒绝透露第一张卡的确切作用。他们对技术的这一要素充满信心,以避免向潜在的入侵者或小偷发出过于明确的指令。
相比之下,一位安全研究人员在2012年的黑帽大会上提出了一个类似的酒店钥匙卡黑客攻击,该黑客在没有这种混淆的情况下打开了Onity公司销售的锁,并允许任何黑客构建一个设备来打开Onity全球1000万把锁中的任何一个。当 Onity 拒绝支付解决问题所需的硬件升级费用,而是将责任推给客户时,这个问题在许多酒店仍未得到解决,并最终在至少一名黑客的跨国入室盗窃狂潮中被利用。
卡罗尔和沃特斯表示,他们正试图通过采取更谨慎的方法来避免这种情况,同时仍然警告公众他们的技术,因为即使现在Dormakaba已经提供了解决方案,数百处房产也可能仍然容易受到它的影响。卡罗尔说:“我们正试图找到中间立场,帮助 Dormakaba 快速修复它,同时也告诉客人它。“如果今天有人对此进行逆向工程,并在人们意识到之前就开始利用它,那可能是一个更大的问题。
为此,卡罗尔和沃特斯指出,酒店客人最常(但并非总是)通过其独特的设计来识别易受攻击的锁:一个圆形的RFID阅读器,上面有一条波浪线穿过它。他们建议,如果酒店客人的门上确实有Saflok,他们可以通过使用恩智浦的NFC Taginfo应用程序(适用于iOS或Android)检查他们的钥匙卡来确定它是否已更新。如果锁是由 Dormakaba 制造的,并且该应用程序显示钥匙卡仍然是 MIFARE Classic 卡,那么它可能仍然容易受到攻击。
两位研究人员说,如果是这样的话,除了避免将贵重物品留在房间里,当你在里面时,把链子锁在门上,别无他法。他们警告说,房间的门栓也由钥匙卡锁控制,因此它不会提供额外的保护。“如果有人锁上了门栓,他们仍然没有受到保护,”卡罗尔说。
沃特斯和卡罗尔认为,即使没有完美或完全实施的解决方案,酒店客人最好知道风险,而不是有虚假的安全感。毕竟,他们指出,Saflok品牌已经销售了三十多年,并且可能在大部分或所有年份都处于脆弱状态。尽管Dormakaba表示,它不知道Wouters和Carroll的技术过去曾使用过任何用途,但研究人员指出,这并不意味着它从未秘密发生过。
“我们认为这个漏洞已经存在了很长时间,”Wouters说。“我们不太可能是第一个发现这一点的人。
根据三位安全研究人员最近发表的一篇文章,超过 900 个配置错误的 Google Firebase 网站可能泄露了近 1.25 亿条用户记录,他们在网上使用“mrbuh”、“xyzeva”和“logykk”。
1月10日,安全研究员mrbruh首次报告说,在入侵基于人工智能的招聘系统 Chattr.ai 时,他们成功访问了Applebee's、Chick-fil-A、肯德基、赛百味和塔可钟等流行的零售食品网站。
零售和酒店业ISAC于1月11日报道了这一事件,即mrbruh发布第一篇文章的第二天,称攻击者可以使用Chattr.ai的注册功能,通过滥用其Google Firebase后端数据库中的漏洞或错误配置,创建具有完全读/写权限的新用户配置文件。然后建议零售和酒店业的公司联系 Chattr.ai。
在最初围绕 pwning Chattr.ai 的新闻报道之后,这三位研究人员开始通过错误配置的 Firebase 实例扫描互联网以查找暴露的 PII——就在那时,他们发现了泄露的记录,包括重要的银行详细信息、账单信息和发票。泄露的数据还包括姓名、电话号码、电子邮件地址和密码。
截至发稿时,试图联系 Chattr.ai 和谷歌发表评论的努力没有成功。
行业对错误配置并不陌生
如今,大多数对云基础设施的成功攻击都源于配置错误,Keeper Security 安全和架构副总裁 Patrick Tiquet 说。Tiquet 说,Google Firebase 不断升级和发展其安全建议,但是,这些组件并不总是正确实施或受到监控,就像 Chattr 实施 Firebase 的情况一样。
“管理员应始终确保他们使用安全的保管库和机密管理解决方案,并立即执行必要的补丁和更新,”Tiquet 说。“他们还应该检查云控制台的安全控制,以确保他们遵循最新的建议。
Sectigo 产品高级副总裁 Jason Soroko 表示,这个案例对云系统用户以及云架构师本身来说都是一个很好的教训。
“最近的Google Firebase问题在某些方面可能会更糟,因为它允许恶意行为者的管理功能,导致潜在的更深层次的妥协,”Soroko说。“让我们看看我们是否得到了一套工具来帮助我们更好地评估配置。
END
原文始发于微信公众号(安全圈):【安全圈】只需要几秒钟,黑客就能打开 300 万个酒店钥匙卡锁中的任何一个
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论