黑客披露万能房卡漏洞，可秒开全球数百万酒店房间

近日，安全研究人员Ian Carroll、Lennert Wouters及其团队披露了瑞士锁具制造商Dormakaba生产的Saflok品牌RFID感应房卡锁存在的一系列安全漏洞（命名为Unsaflok）。

Saflok门锁系统被万豪国际、华住酒店集团、锦江酒店集团、希尔顿酒店集团、如家酒店集团等全球知名酒店广泛采用，全球131个国家有13000个物业的300万扇门安装了Saflok门锁。

对Saflok房卡门锁的破解始于2022年8月份拉斯维加斯举行的黑客大会。在大会期间的一场私人活动中，一小部分研究人员受邀“合法”入侵一个拉斯维加斯酒店房间，他们在一个挤满笔记本电脑和红牛饮料的套房内竞赛，挖掘房间内所有电子设备的漏洞，从电视到床边的VoIP电话，无一幸免。

其中一组黑客（Carroll和Wouters的团队）将研究重点放在了房间门锁上，这或许是酒店房间中最敏感的技术之一。时隔一年多，该团队终于公布了其研究成果：一种只需轻触两下即可打开全球数百万酒店房间的技术。

利用Dormakaba加密系统和底层的MIFARE Classic RFID系统的漏洞，Carroll和Wouters成功破解了Saflok感应房卡锁。他们只需获取目标酒店的任意房卡（例如预订房间或从废弃房卡盒中拿走一张），然后使用价值300美元的RFID读写设备（包括Proxmark3、Flipper Zero和支持NFC的安卓智能手机）读取该卡中的特定代码，最后写入两张他们自己制作的房卡。只要将这两张卡轻触门锁，第一张卡会重写门锁数据中的某一部分，第二张卡则会打开门锁。

“只需轻触两下，我们就能打开门，”比利时鲁汶大学计算机安全和工业密码学研究小组的研究员Wouters说，“而且这种方法适用于酒店的每一扇门。”

Wouters和Carroll早在2022年11月就将他们的破解技术细节完整地分享给了Dormakaba公司。Dormakaba表示，自2023年年初以来，他们向酒店客户广泛告知了Saflok的安全漏洞问题，并帮助客户修复或更换易受攻击的锁具。对于过去八年内销售的大部分Saflok系统，无需单独更换各个门锁的硬件。酒店只需更新或更换前台管理系统，并由技术人员逐门快速重新编程即可。

然而，Wouters和Carroll表示，Dormakaba告知他们，截至本月，只有36%的已安装Saflok系统完成了更新。更糟糕的是，由于这些锁具并非联网设备，而且部分老式锁具仍需进行硬件升级，他们估计漏洞的完全修复至少还需要几个月的时间，甚至有些老式系统可能需要数年才能完成（编者：这往往意味着很多门锁压根不会被修复）。

Wouters和Carroll的研究小组的Dormakaba门锁破解技术利用了两种不同的漏洞：一种漏洞允许他们写入房卡数据，另一种漏洞让他们知道需要写入哪些数据到房卡上才能成功欺骗Saflok门锁使其打开。

在分析Saflok房卡时，研究者发现这些房卡使用的是MIFARE Classic RFID系统，该系统早在十多年以前就被发现存在漏洞，黑客可以通过该漏洞写入房卡数据，不过暴力破解过程可能需要长达20秒的时间。然后，他们破解了Dormakaba加密系统的一部分，即所谓的密钥派生函数，使他们能够更快地写入数据到房卡。利用上述技巧中的任何一种，研究人员都可以随意复制Saflok房卡，但仍然无法生成可打开所有房间的“万能房卡”。

接下来，最关键的破解步骤是获取Dormakaba分发给酒店的门锁编程设备（可从网上购买二手物品），以及用于管理房卡的前台软件副本。通过逆向工程该软件，他们能够读取存储在卡上的所有数据，提取酒店物业代码以及每个房间的代码，然后创建他们自己的值并使用Dormakaba系统的加密方式进行加密，从而伪造一个可以打开酒店内任何房间的万能房卡。Wouters说道：“从本质上讲，你可以制作一张看起来像是由Dormakaba软件创建的房卡。”

那么Carroll和Wouters是如何获得Dormakaba的前台软件的呢？Wouters坦言道：“我们只需礼貌地向业内人士打听。而且，厂商通常认为没有人会将他们的设备在eBay上出售，也没有人会复制他们的软件。但我想每个人都知道，这些假设都是自欺欺人。”

一旦完成了所有逆向工程工作，最终的攻击只需使用价值300美元的Proxmark RFID读写设备和几张空白RFID卡、一部安卓手机或Flipper Zero无线电破解工具即可完成。

该技术的最大限制在于，黑客仍然需要一张目标酒店房间的房卡（甚至是已过期的房卡）。这是因为每张卡都有一个他们需要读取并复制到伪造卡上的特定物业代码，以及目标房间的代码。

Unsaflok漏洞影响多个Saflok型号，包括由System 6000或Ambiance软件管理的Saflok MT、Quantum系列、RT系列、Saffire系列和Confidant系列。

Carroll和Wouters指出，酒店客人可以通过门锁上读卡区的设计特征（一个带有波浪线圈的圆形RFID读卡器）来识别是否易受攻击的门锁（但并非总是如此）。

两个常见的易受攻击的Saflok产品型号  图片：unsaflok.com

研究者还建议，如果用户发现入住酒店房间的门锁是Saflok品牌，可用NXP开发的NFCTaginfo应用程序（提供iOS和安卓两种版本）检查他们的房卡来确定是否已更新。如果门锁由Dormakaba制造，并且该应用程序显示房卡仍然是MIFARE Classic卡，则很可能仍然存在漏洞。

两位研究人员建议，如果房卡存在漏洞，除了避免将贵重物品留在房间之外，在房间内时务必栓上防盗链，因为门锁上的保险栓也由房卡锁控制，无法提供额外的安全保障。

即使目前全球有大量酒店房间并未完全实施修复方案，Wouters和Carroll认为，让酒店客人了解风险总比让他们产生虚假的安全感要好。毕竟，Saflok品牌已经销售了三十多年，并且可能在这些年的大部分或全部产品都存在漏洞。尽管Dormakaba表示他们没有发现Wouters和Carroll的技术过去曾被使用过，但研究人员指出，这并不意味着它从未秘密发生过。

Wouters说道：“我们认为这个漏洞已经存在了很长时间。”“我们不可能是第一个发现它的人。”

参考链接：

https://www.wired.com/story/saflok-hotel-lock-unsaflok-hack-technique/