Se pensate che la vostra camera d’albergo sia sicura e che solo le persone autorizzate possano entrarci, pensate meglio. Perché è stato dimostrato che con una serie di attacchi è possibile entrare in pochi secondi in moltissime camere. Sul banco degli imputati una serie di produttori di serrature elettroniche che vengono attivate con le chiavi programmabili a contatto, le tessere che vengono configurate dal front desk dell’albergo al momento della registrazione e che poi sono riprogrammabili.

Una tecnologia basata su chip RFID che si era dimostrata più sicura delle chiavi a banda magnetica (che possono essere clonate) o delle tradizionali chiavi a serratura, che possono essere forzate con degli strumenti appositi (i famosi kit usati dai ladri e agenti segreti di tutti i film e telefilm) oppure ingannate con dei passepartout in commercio non solo sul dark web ma anche sui siti più tradizionali di aste online.

Invece, le porte con tessere basate su sfioramento sembravano le più sicure. E hanno un grande problema di aggiornamento, perché una volta che la tecnologia viene acquistata da migliaia e migliaia di hotel in tutto il mondo, i tempi di aggiornamento e patch software, ammesso che una patch sia possibile, possono durare anche anni. E certamente ci saranno sempre porte in grado di non resistere a questo tipo di attacco, scoperto da un gruppo di ricercatori di cybersicurezza. Già, ma di cosa si tratta?

La scoperta

Proprio come Ali Babà. “Apriti Sesamo”. Solo che siamo alle conferenze di hacker Black Hat e Defcon a Las Vegas. E in una demo in una saletta privata, si scopre, nel 2022 è stato trovato un attacco micidiale. Un gruppo selezionato di ricercatori è stato invitato a violare una camera d’albergo di Las Vegas, gareggiando in una suite per trovare vulnerabilità digitali in tutti i gadget della camera, dal televisore al telefono VoIP del letto.

Una squadra di hacker ha trascorso quei giorni concentrandosi sulla serratura della porta della stanza, forse il pezzo di tecnologia più sensibile di tutti. Ora, più di un anno e mezzo dopo, stanno finalmente portando alla luce i risultati di quel lavoro: una tecnica che hanno scoperto e che consentirebbe a un intruso di aprire in pochi secondi una qualsiasi delle milioni di camere d’albergo in tutto il mondo, con due soli tocchi.

I ricercatori di sicurezza coinvolti solo oggi, quasi tre anni dopo, rivelano una tecnica di hacking delle chiavi d’albergo che chiamano Unsaflok. La tecnica consiste in un insieme di vulnerabilità di sicurezza che consentirebbero a un hacker di aprire quasi istantaneamente diversi modelli di serrature a chiave elettronica basate su RFID del marchio Saflok e vendute dal produttore svizzero di serrature Dormakaba, come riporta la stampa statunitense. I sistemi Saflok sono installati su tre milioni di porte in tutto il mondo, all’interno di 13.000 proprietà in 131 Paesi.

Sfruttando i punti deboli di Dormakaba e del sistema RFID utilizzato da Dormakaba, noto come MIFARE Classic, i ricercatori hanno dimostrato la facilità con cui è possibile aprire una serratura a chiave elettronica Saflok. La loro tecnica inizia con l’ottenere una qualsiasi keycard di un hotel, ad esempio prenotando una stanza o prendendone una da una scatola di quelle usate, quindi leggendo un determinato codice da quella carta con un dispositivo di lettura e scrittura RFID da 300 dollari e infine scrivendo due keycard proprie. Quando si limitano a toccare le due carte su una serratura, la prima riscrive una determinata parte dei dati della serratura e la seconda la apre.

“Due rapidi colpetti e apriamo la porta”, spiega uno dei ricercatori del gruppo di sicurezza informatica e crittografia industriale dell’Università KU Leuven in Belgio. “E questo funziona su ogni porta dell’hotel”.

La complessità dell’attacco

La più grande avvertenza della tecnica Unsaflok degli hacker è che richiede comunque che si disponga di una chiave magnetica, anche scaduta, per una stanza dello stesso hotel di quella presa di mira. Questo perché ogni carta ha un codice specifico della proprietà che devono leggere e poi duplicare sulla loro carta contraffatta, oltre a un codice specifico della stanza. In pratica, gli attaccanti devono poter ottenere il codice che “firma” le chiavi dell’hotel per poter fare le loro manovre.

Una volta ottenuto il codice, però, la tecnica richiede anche l’uso di un dispositivo di lettura-scrittura RFID per scrivere due carte: una carta che riprogramma la serratura dell’obiettivo e la seconda carta falsificata che la sblocca. I ricercatori hanno usato una apparecchiatura professionale che costa alcune centinaia di dollari, ma spiegano che probabilmente si potrebbe anche usare un telefono Android o un Flipper Zero per emettere un segnale dopo l’altro al posto delle due schede: l’attacco potrebbe quindi diventare “senza schede”.

Sim-sala-bim, senza card!

I ricercatori spiegano che la prima carta permette loro di aprire una stanza senza indovinare l’identificativo univoco nel sistema dell’hotel, ma non hanno voluto dire esattamente cosa fa la prima carta. Si tratta di un elemento riservato della tecnica, per evitare di fornire istruzioni troppo chiare a potenziali intrusi o ladri.

Non è la prima volta che le serrature degli hotel di Las Vegas sono finite nei guai. Un ricercatore di sicurezza aveva presentato alla conferenza Black Hat del 2012 un hack analogo che sfruttava sempre ke chiavi d’albergo per aprire le serrature. Questa volta erano le serrature dell’azienda Onity, e non era richiesto neanche alcun offuscamento: questo permetteva a qualsiasi smanettone di costruire un dispositivo in grado di aprire uno qualsiasi dei 10 milioni di serrature di Onity in tutto il mondo. Quando Onity si è rifiutata di pagare gli aggiornamenti hardware necessari per risolvere il problema, facendo ricadere l’onere sui clienti, il problema è rimasto irrisolto in molti hotel e alla fine è stato sfruttato da alcuni malintenzionati in vari hotel (oltre che in migliaia di film e telefilm americani).

E adesso?

Il problema è che la vulnerabilità individuata dai ricercatori esiste da sempre e che probabilmente, sostengono loro, non sono i primi ad averla scoperta. Per questo ci sono alcune osservazioni da fare dal punto di vista della sicurezza. Come capire se la porta di un grandhotel, soprattutto negli Usa e Canada ma anche nell’Europa del Nord (in Italia è improbabile) ha le serrature incriminate? E poi, le avrà aggiornate oppure no?

I ricercatori dicono che stanno cercando di evitare scenari di attacchi adottando un approccio cauto, pur avvertendo il pubblico della loro tecnica, dato che centinaia di proprietà rimarranno probabilmente vulnerabili anche ora che Dormakaba ha offerto la sua soluzione. “Stiamo cercando di trovare una via di mezzo per aiutare Dormakaba a risolvere rapidamente il problema, ma anche per informare gli ospiti”, spiegano. “Se qualcun altro dovesse fare il reverse engineering e iniziare a sfruttarlo prima che la gente se ne accorga, il problema potrebbe essere ancora più grave”.

A tal fine, i ricercatori dicono che gli ospiti degli hotel possono riconoscere le serrature vulnerabili, ma non sempre, grazie al loro design particolare: un lettore RFID rotondo con una linea ondulata che lo attraversa. Suggeriscono che se gli ospiti dell’hotel hanno una serratura Saflok, possono determinare se è stato aggiornato controllando la loro chiave magnetica con l’applicazione NFC Taginfo di NXP, disponibile per iOS o Android. Se la serratura è prodotta da Dormakaba e l’app mostra che la chiave magnetica è ancora una scheda MIFARE Classic, è probabile che sia ancora vulnerabile.

Anche senza una soluzione perfetta o completamente implementata, i ricercatori sostengono che è meglio per gli ospiti dell’hotel conoscere i rischi piuttosto che avere un falso senso di sicurezza. Dopo tutto, sottolineano, il marchio Saflok è stato venduto per più di tre decenni e potrebbe essere stato vulnerabile per gran parte o tutti questi anni. Sebbene Dormakaba dichiari di non essere a conoscenza di alcun uso passato della tecnica, i ricercatori sottolineano che ciò non significa che non sia mai avvenuto in segreto. Magari non solo in qualche film di Mission Impossibile.

