安全漏洞可以轻松打开超过300万把门锁，酒店门禁系统亟待升级

安全研究人员发现了一个漏洞，可用于轻松解锁众多酒店房间的门禁系统，轻松打开酒店的房门。

该漏洞涉及一家名为 Dormakaba 的瑞士公司的 Saflok 门禁系统。“131个国家的300多万把酒店锁受到影响，”研究人员指出，该漏洞已经存在了36年。

据报道，安全专家在 2022 年 8 月参加一次私人活动后发现了这个问题，他们被邀入侵美国赌城拉斯维加斯的一家酒店房间。

该小组随后向 Dormakaba 披露了调查结果，后者于2023年11月开始开发补丁。但是，在受影响的属性中安装修复程序并不容易。到目前为止，只有 36% 的受影响锁已更新或更换。

研究人员认为，所有锁都需要软件更新或必须更换。此外，所有钥匙卡都必须重新发行，前台软件和卡编码器必须升级，第三方集成（例如电梯、停车场和支付系统）可能需要额外升级。

研究人员决定公开披露该漏洞，以便酒店员工和客人意识到这一威胁。他们创建了一个关于该漏洞的网站，该网站被称为Unsaflok。

研究人员尚未公布技术细节，以防止黑客利用该威胁。然而，该漏洞相对容易被不良行为者滥用。攻击者只需要从物业中读取一张钥匙卡，就可以对物业中的任何门进行攻击。这张钥匙卡可以来自他们自己的房间，甚至可以是从快速结账收集箱中取出的过期钥匙卡。

此外，黑客攻击可以通过可以读取、写入和模拟 MiFare Classic 智能卡的电子设备进行，包括使用 169 美元的 Flipper Zero 和任何支持 NFC 的 Android 智能手机。