近日黑客公布了一種被萬豪國際、華住酒店集團、錦江酒店集團、希爾頓酒店集團、如家酒店集團等全球知名酒店品牌廣泛采用的RFID感應房卡門鎖的漏洞，黑客只需獲取任何一張酒店房卡，就可以復制出可打開該酒店所有房間的“萬能鑰匙”。

近日，安全研究人員Ian Carroll、Lennert Wouters及其團隊披露了瑞士鎖具制造商Dormakaba生產的Saflok品牌RFID感應房卡鎖存在的一系列安全漏洞（命名為Unsaflok）。

Saflok門鎖系統被萬豪國際、華住酒店集團、錦江酒店集團、希爾頓酒店集團、如家酒店集團等全球知名酒店廣泛采用，全球131個國家有13000個物業的300萬扇門安裝了Saflok門鎖。

可“秒開”全球數百萬酒店房間的“萬能房卡”

對Saflok房卡門鎖的破解始于2022年8月份拉斯維加斯舉行的黑客大會。在大會期間的一場私人活動中，一小部分研究人員受邀“合法”入侵一個拉斯維加斯酒店房間，他們在一個擠滿筆記本電腦和紅牛飲料的套房內競賽，挖掘房間內所有電子設備的漏洞，從電視到床邊的VoIP電話，無一幸免。

其中一組黑客（Carroll和Wouters的團隊）將研究重點放在了房間門鎖上，這或許是酒店房間中最敏感的技術之一。時隔一年多，該團隊終于公布了其研究成果：一種只需輕觸兩下即可打開全球數百萬酒店房間的技術。

利用Dormakaba加密系統和底層的MIFARE Classic RFID系統的漏洞，Carroll和Wouters成功破解了Saflok感應房卡鎖。他們只需獲取目標酒店的任意房卡（例如預訂房間或從廢棄房卡盒中拿走一張），然后使用價值300美元的RFID讀寫設備（包括Proxmark3、Flipper Zero和支持NFC的安卓智能手機）讀取該卡中的特定代碼，最后寫入兩張他們自己制作的房卡。只要將這兩張卡輕觸門鎖，第一張卡會重寫門鎖數據中的某一部分，第二張卡則會打開門鎖。

“只需輕觸兩下，我們就能打開門，”比利時魯汶大學計算機安全和工業密碼學研究小組的研究員Wouters說，“而且這種方法適用于酒店的每一扇門?！?/p>

僅有36%的Saflok門鎖修復漏洞

Wouters和Carroll早在2022年11月就將他們的破解技術細節完整地分享給了Dormakaba公司。Dormakaba表示，自2023年年初以來，他們向酒店客戶廣泛告知了Saflok的安全漏洞問題，并幫助客戶修復或更換易受攻擊的鎖具。對于過去八年內銷售的大部分Saflok系統，無需單獨更換各個門鎖的硬件。酒店只需更新或更換前臺管理系統，并由技術人員逐門快速重新編程即可。

然而，Wouters和Carroll表示，Dormakaba告知他們，截至本月，只有36%的已安裝Saflok系統完成了更新。更糟糕的是，由于這些鎖具并非聯網設備，而且部分老式鎖具仍需進行硬件升級，他們估計漏洞的完全修復至少還需要幾個月的時間，甚至有些老式系統可能需要數年才能完成（編者：這往往意味著很多門鎖壓根不會被修復）。

破解詳情：利用了兩種漏洞

Wouters和Carroll的研究小組的Dormakaba門鎖破解技術利用了兩種不同的漏洞：一種漏洞允許他們寫入房卡數據，另一種漏洞讓他們知道需要寫入哪些數據到房卡上才能成功欺騙Saflok門鎖使其打開。

在分析Saflok房卡時，研究者發現這些房卡使用的是MIFARE Classic RFID系統，該系統早在十多年以前就被發現存在漏洞，黑客可以通過該漏洞寫入房卡數據，不過暴力破解過程可能需要長達20秒的時間。然后，他們破解了Dormakaba加密系統的一部分，即所謂的密鑰派生函數，使他們能夠更快地寫入數據到房卡。利用上述技巧中的任何一種，研究人員都可以隨意復制Saflok房卡，但仍然無法生成可打開所有房間的“萬能房卡”。

接下來，最關鍵的破解步驟是獲取Dormakaba分發給酒店的門鎖編程設備（可從網上購買二手物品），以及用于管理房卡的前臺軟件副本。通過逆向工程該軟件，他們能夠讀取存儲在卡上的所有數據，提取酒店物業代碼以及每個房間的代碼，然后創建他們自己的值并使用Dormakaba系統的加密方式進行加密，從而偽造一個可以打開酒店內任何房間的萬能房卡。Wouters說道：“從本質上講，你可以制作一張看起來像是由Dormakaba軟件創建的房卡?！?/p>

那么Carroll和Wouters是如何獲得Dormakaba的前臺軟件的呢？Wouters坦言道：“我們只需禮貌地向業內人士打聽。而且，廠商通常認為沒有人會將他們的設備在eBay上出售，也沒有人會復制他們的軟件。但我想每個人都知道，這些假設都是自欺欺人。”

一旦完成了所有逆向工程工作，最終的攻擊只需使用價值300美元的Proxmark RFID讀寫設備和幾張空白RFID卡、一部安卓手機或Flipper Zero無線電破解工具即可完成。

該技術的最大限制在于，黑客仍然需要一張目標酒店房間的房卡（甚至是已過期的房卡）。這是因為每張卡都有一個他們需要讀取并復制到偽造卡上的特定物業代碼，以及目標房間的代碼。

如何識別易受攻擊的門鎖？

Unsaflok漏洞影響多個Saflok型號，包括由System 6000或Ambiance軟件管理的Saflok MT、Quantum系列、RT系列、Saffire系列和Confidant系列。

Carroll和Wouters指出，酒店客人可以通過門鎖上讀卡區的設計特征（一個帶有波浪線圈的圓形RFID讀卡器）來識別是否易受攻擊的門鎖（但并非總是如此）。

兩個常見的易受攻擊的Saflok產品型號 圖片：unsaflok.com

研究者還建議，如果用戶發現入住酒店房間的門鎖是Saflok品牌，可用NXP開發的NFCTaginfo應用程序（提供iOS和安卓兩種版本）檢查他們的房卡來確定是否已更新。如果門鎖由Dormakaba制造，并且該應用程序顯示房卡仍然是MIFARE Classic卡，則很可能仍然存在漏洞。

安全建議：拴上防盜鏈

兩位研究人員建議，如果房卡存在漏洞，除了避免將貴重物品留在房間之外，在房間內時務必栓上防盜鏈，因為門鎖上的保險栓也由房卡鎖控制，無法提供額外的安全保障。

即使目前全球有大量酒店房間并未完全實施修復方案，Wouters和Carroll認為，讓酒店客人了解風險總比讓他們產生虛假的安全感要好。畢竟，Saflok品牌已經銷售了三十多年，并且可能在這些年的大部分或全部產品都存在漏洞。盡管Dormakaba表示他們沒有發現Wouters和Carroll的技術過去曾被使用過，但研究人員指出，這并不意味著它從未秘密發生過。

Wouters說道：“我們認為這個漏洞已經存在了很長時間。”“我們不可能是第一個發現它的人。”