l+f: "Unsaflok" – unsichere Hotel-Türschlösser
Mit einem Paar gefälschter Karten lassen sich Millionen Hotelzimmer öffnen. Im März sind rund ein Drittel der Schlösser gefixt.
"Unsaflok" haben IT-Sicherheitsforscher eine Kombination von Sicherheitslücken in den automatischen Saflok-Türschlüsseln von Dormakaba getauft. Sie ermöglichen, mit zwei gefälschten Schlüsselkarten, mehrere Millionen Schlösser zu öffnen.
Dormakaba Saflok: Jahrzehnte alte Technik
In den Schlössern stecken Mifare Classic-Chips und Dormakaba hat darauf basierende Türschlösser seit 1988 im Angebot. Die IT-Forscher hinter Unsaflok schreiben, dass daher wohl 36 Jahre schon verwundbare Schlösser genutzt würden. Zwar seien ihnen keine realen Angriffe bekannt, aber es könne nicht ausgeschlossen werden, dass die Schwachstellen bekannt und von anderen genutzt worden seien.
Um ein Saflok-Schloss zu knacken, müssen Angreifer eine Schlüsselkarte der anvisierten Schließanlage auslesen. Diese kann etwa vom eigenen Zimmer stammen, oder gar eine abgelaufene Karte sein, die andere Gäste in eine Schnell-Checkout-Kiste geworfen haben. Gefälschte Karten lassen sich mit jeder Mifare-Classic-Karte und kommerziell verfügbaren Tools zum Beschreiben dieser Karten herstellen. Ein Paar gefälschter Schlüsselkarten reicht dann, um alle Türen der angegriffenen Schließanlage zu knacken.
Welche Sicherheitslücken genau bestehen und mit Unsaflok angegriffen werden, schreiben die IT-Forscher auf ihrer "Unsaflok"-Website nicht. Sie ergänzen jedoch, dass diese Angriffe prinzipiell auch mit einem Flipper Zero klappen – oder gar einfach einem Android-Smartphone. Voraussetzung ist lediglich, dass das Gerät in der Lage ist, eine Mifare-Classic-NFC-Karte zu lesen, zu schreiben und zu emulieren.
Angriffserkennung
Angriffe lassen sich möglicherweise erkennen, wenn die Ein- und Ausgangsprotokolle untersucht werden. Hotelangestellte können das den IT-Forschern zufolge mit einem sogenannten HH6-Gerät, indem sie verdächtige Einträge in den Protokollen suchen. Diese Ein- und Ausgangsprotokolle könnten aufgrund der Sicherheitslücken falschen Schlüsselkarten oder Mitarbeitern zugeordnet sein.
Um die Lücke zu schließen, ist ein hoher Aufwand nötig. Die Aktualisierungen von Hotel-Schließanlagen sei seit November 2023 im Gange. Bis einschließlich März 2024 seien rund 36 Prozent der betroffenen Anlagen ausgebessert worden. Alle Schlösser müssen mit neuer Software ausgestattet oder sogar ausgetauscht werden. Alle Schlüsselkarten müssen neu ausgegeben werden, die Software am Empfang und Karten-Kodierer ein Upgrade erhalten. Ob die Anlage eines Hotels bereits aktualisiert wurde, lasse sich durch bloße Inaugenscheinnahme nicht erkennen. Sofern Mifare-Ultralight-C-Schlüsselkarten anstatt Mifare Classic zum Einsatz kommen, sei das jedoch ein sicheres Indiz.
Es gebe auch diverse andere Hersteller, die Schlösser mit Mifare-Classic-Schlüsselkarten verwenden. Die seien von Unsaflok jedoch nicht betroffen. Ungeachtet dessen sei jedoch nicht zu empfehlen, Mifare Classic in Sicherheits-sensiblen Anwendungen zu nutzen.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(dmk)