Hackers vonden een manier om een populaire sleutelkaartslot van een hotel in enkele seconden te openen. Het bedrijf achter de sloten van het merk Saflok – goed voor drie miljoen sloten wereldwijd – biedt een oplossing, maar het kan nog jaren duren om de hotels te bereiken. Hoe werkt de hack? En hoe betrouwbaar is het slot van je hoteldeur eigenlijk?
Jouw hotelkamer is een open deur. Dat was de recente bevinding van een team van internationale beveiligingsonderzoekers onder wie Lennert Wouters, gelinkt aan de Computer Security & Industrial Cryptography-unit van de KU Leuven. Ze onthullen hun ‘hotel keycard hacking technique’. De naam daarvan is Unsaflok, een combinatie van kwetsbaarheden waarmee verschillende modellen van rfid-gebaseerde sleutelkaartsloten van het merk Saflok is te ontgrendelen. Die sloten, verkocht door de Zwitserse slotenmaker Dormakaba, kan je vrijwel onmiddellijk openen met twee vervalste keycards.
De gevolgen zijn niet min: Saflok-systemen zijn wereldwijd in 131 landen op 3 miljoen deuren geïnstalleerd, voornamelijk hoteldeuren. Saflok wordt al meer dan drie decennia verkocht en is mogelijk al veel langer kwetsbaar.
Hoe werkt het?
Door gebruik te maken van de zwakke punten in zowel de versleuteling van Dormakaba als het onderliggende RFID-systeem dat Dormakaba gebruikt.
De hackers hebben enkel een keycard nodig van een kamer ergens in hetzelfde hotel
Hun techniek begint met het verkrijgen van een keycard van het betreffende hotel – bijvoorbeeld door er simpelweg een kamer te boeken. Vervolgens lezen ze een bepaalde code van die hotelkaart om vervolgens twee eigen keycards te maken. Het volstaat dan om met die twee kaarten op een slot te tikken. De eerste kaart herschrijft een bepaald deel van de gegevens van het slot en de tweede opent het slot. ‘En dat werkt dan aan elke deur in het hotel’, aldus Lennert Wouters. De hackers hebben enkel een keycard nodig – al mag die ook expired zijn – van een kamer ergens in hetzelfde hotel als de kamer waar ze zich op richten.
Hoe werkt het echt?
De techniek om de sloten van Dormakaba te hacken omvat twee verschillende soorten kwetsbaarheden: een die hen in staat stelt om naar zijn keycard te schrijven, én een die in staat is te weten welke data ze op de kaarten moeten schrijven om een Saflok met succes te misleiden/openen. Toen de onderzoekers Saflok-keylocks analyseerden, zagen ze dat die het MIFARE Classic RFID-systeem gebruiken, waarvan al meer dan een decennium bekend is dat het kwetsbaarheden heeft waarmee hackers naar keycards kunnen schrijven.
Vervolgens kraakte ze een deel van het eigen coderingssysteem van Dormakaba, waardoor ze snel naar hun kaarten konden schrijven. Zo konden de onderzoekers een Saflok-sleutelkaart kopiëren.
What about reverse engineering?
Dé cruciale stap van de onderzoekers bleek het inschakelen van een van de lock programming devices die Dormakaba bij hotels levert, samen met hun desk software voor het beheer van keycards. Door die software te analyseren, konden ze alle gegevens die op de kaarten waren opgeslagen begrijpen, een code van het hotel en een code voor elke afzonderlijke kamer ophalen, waardoor ze een werkende mastersleutel konden ontwikkelen die elke kamer in het hotel opent.
Zodra ze al dat reverse engineering-werk hadden gedaan, kon de finale aanval worden ingezet via een Proxmark RFID-leesschrijfapparaat (kostprijs 300 dollar) en een paar lege RFID-kaarten, een Android-telefoon met NFC of Flipper Zero-radiohacktool.
Wat is de remedie?
De onderzoekers deelden eind 2022 al de technische details van hun hack met Dormakaba. Zij zouden sinds begin vorig jaar bezig zijn om hotels, die Saflok gebruiken, op de hoogte te brengen en om hen te helpen de kwetsbare sloten te vervangen. Voor veel van de Saflok-systemen die in de afgelopen jaren zijn verkocht, is geen hardware vervanging nodig voor elk afzonderlijk slot. In plaats daarvan hoeven hotels alleen het beheersysteem van de receptie aan te passen en een technicus een relatief snelle herprogrammering van elk slot, deur voor deur, te laten uitvoeren. Toch zouden intussen slechts een kleine 40% van de geïnstalleerde Safloks van een patch zijn voorzien. Sommige oudere installaties kunnen jaren duren.
En… voor de hotelgasten?
Hotelgasten kunnen de kwetsbare sloten vaak – maar niet altijd – herkennen aan een ronde RFID-lezer met een golvende lijn die er doorheen snijdt. Ze kunnen de betreffende keycard (én lock patch) dan checken met de NFC Taginfo-app van NXP, beschikbaar voor iOS of Android. Is het een Dormakaba slot én is de keycard nog steeds een MIFARE Classic-kaart is, is deze waarschijnlijk nog steeds kwetsbaar.
In dat geval laat je best geen waardevolle spullen in de kamer achter. En als je zelf in de kamer bent… het schuifslot gebruiken.
Dit artikel verscheen eerder in het Engels in het Cybersec e-Magazine #4 (april 2024):
