Quando milhares de pesquisadores de segurança descem sobre Las Vegas todo agosto para o que se tornou conhecido como "acampamento de verão dos hackers", as conferências de hackers Black Hat e Defcon em sequência, é certo que alguns deles irão experimentar hackear a infraestrutura de Vegas em si, a elaborada variedade de tecnologia de cassinos e hospitalidade da cidade. Mas em um evento privado em 2022, um grupo seleto de pesquisadores foi realmente convidado a hackear um quarto de hotel de Vegas, competindo em uma suíte lotada com seus laptops e latas de Red Bull para encontrar vulnerabilidades digitais em todos os gadgets do quarto, desde sua TV até seu telefone VoIP ao lado da cama.
Um time de hackers passou esses dias focados na fechadura da porta do quarto, talvez sua peça de tecnologia mais sensível de todas. Agora, mais de um ano e meio depois, eles finalmente estão trazendo à luz os resultados desse trabalho: uma técnica que descobriram que permitiria a um intruso abrir qualquer um dos milhões de quartos de hotel em todo o mundo em segundos, com apenas dois toques.
Hoje, Ian Carroll, Lennert Wouters e uma equipe de outros pesquisadores de segurança estão revelando uma técnica de hacking de cartão-chave de hotel que eles chamam de Unsaflok. A técnica é uma coleção de vulnerabilidades de segurança que permitiriam a um hacker abrir quase instantaneamente vários modelos de fechaduras de cartão-chave baseadas em RFID da marca Saflok vendidas pelo fabricante suíço de fechaduras Dormakaba. Os sistemas Saflok estão instalados em 3 milhões de portas em todo o mundo, dentro de 13.000 propriedades em 131 países.
Ao explorar falhas tanto na criptografia da Dormakaba quanto no sistema RFID subjacente usado pela Dormakaba, conhecido como MIFARE Classic, Carroll e Wouters demonstraram o quão facilmente podem abrir uma fechadura de cartão-chave Saflok. Sua técnica começa com a obtenção de qualquer cartão-chave de um hotel-alvo - digamos, reservando um quarto lá ou pegando um cartão-chave de uma caixa de usados - então lendo um certo código desse cartão com um dispositivo de leitura-gravação RFID de US $ 300 e, finalmente, gravando dois cartões-chave próprios. Quando eles simplesmente tocam esses dois cartões em uma fechadura, o primeiro reescreve uma parte específica dos dados da fechadura, e o segundo a abre.
"Com dois toques rápidos e abrimos a porta," diz Wouters, um pesquisador no grupo de Segurança de Computadores e Criptografia Industrial na Universidade KU Leuven, na Bélgica. "E isso funciona em todas as portas do hotel."
Wouters e Carroll, um pesquisador de segurança independente e fundador do site de viagens Seats.aero, compartilharam os detalhes técnicos completos de sua técnica de hacking com a Dormakaba em novembro de 2022. A Dormakaba diz que tem trabalhado desde o início do ano passado para alertar os hotéis que usam Saflok sobre suas falhas de segurança e ajudá-los a corrigir ou substituir as fechaduras vulneráveis. Para muitos dos sistemas Saflok vendidos nos últimos oito anos, não é necessário substituir o hardware de cada fechadura individual. Em vez disso, os hotéis só precisarão atualizar ou substituir o sistema de gerenciamento da recepção e ter um técnico realizar uma reprogramação relativamente rápida de cada fechadura, porta por porta.
Wouters e Carroll dizem que, no entanto, foram informados pela Dormakaba que, até este mês, apenas 36% dos Safloks instalados foram atualizados. Dado que as fechaduras não estão conectadas à Internet e algumas fechaduras mais antigas ainda precisarão de uma atualização de hardware, eles dizem que a correção completa provavelmente levará meses a mais para ser implementada, no mínimo. Algumas instalações mais antigas podem levar anos.
“Trabalhamos em estreita colaboração com nossos parceiros para identificar e implementar uma mitigação imediata para essa vulnerabilidade, juntamente com uma solução de longo prazo”, escreveu a Dormakaba à WIRED em um comunicado, embora tenha se recusado a detalhar o que poderia ser essa "mitigação imediata". “Nossos clientes e parceiros levam a segurança muito a sério, e estamos confiantes de que todos os passos razoáveis serão tomados para resolver esse problema de maneira responsável.”
A técnica para hackear as fechaduras da Dormakaba que o grupo de pesquisa de Wouters e Carroll descobriu envolve dois tipos distintos de vulnerabilidades: uma que lhes permite escrever em seus cartões-chave e outra que lhes permite saber que dados escrever nos cartões para enganar com sucesso uma fechadura Saflok para abrir. Quando eles analisaram os cartões-chave Saflok, viram que usavam o sistema RFID MIFARE Classic, que é conhecido há mais de uma década por ter vulnerabilidades que permitem que hackers escrevam em cartões-chave, embora o processo de força bruta possa levar até 20 segundos. Eles então quebraram uma parte do próprio sistema de criptografia da Dormakaba, sua chamada função de derivação de chaves, o que lhes permitiu escrever em seus cartões muito mais rápido. Com qualquer um desses truques, os pesquisadores poderiam então copiar um cartão-chave Saflok à vontade, mas ainda não gerar um para um quarto diferente.
O passo mais crucial dos pesquisadores exigiu que eles obtivessem um dos dispositivos de programação de fechaduras que a Dormakaba distribui para hotéis, além de uma cópia de seu software de recepção para gerenciar cartões-chave. Ao engenharia reversa desse software, eles foram capazes de entender todos os dados armazenados nos cartões, retirando um código de propriedade do hotel, bem como um código para cada quarto individual, e então criar seus próprios valores e criptografá-los da mesma forma que o sistema da Dormakaba faria, permitindo-lhes falsificar uma chave-mestra de trabalho que abre qualquer quarto na propriedade. “Você pode fazer um cartão que realmente parece ter sido criado pelo software da Dormakaba, essencialmente,” diz Wouters.
E como Carroll e Wouters conseguiram o software de recepção da Dormakaba? "Pedimos gentilmente a algumas pessoas", diz Wouters. "Os fabricantes presumem que ninguém vai vender seu equipamento no eBay e que ninguém vai fazer uma cópia de seu software, e essas suposições, eu acho que todo mundo sabe, não são realmente válidas."
Depois de concluírem todo esse trabalho de engenharia reversa, a versão final de seu ataque poderia ser realizada com pouco mais do que um dispositivo de leitura-gravação RFID Proxmark de US $ 300 e alguns cartões RFID em branco, um telefone Android ou uma ferramenta de hacking de rádio Flipper Zero.
A maior ressalva da técnica Unsaflok dos hackers é que ela ainda requer que eles tenham um cartão-chave - mesmo que expirado - para um quarto em algum lugar do mesmo hotel que o quarto que estão mirando. Isso ocorre porque cada cartão possui um código específico da propriedade que eles precisam ler e depois duplicar em seu cartão falsificado, além de um específico para o quarto.
Depois de obterem esse código da propriedade, a técnica também exige o uso de um dispositivo de leitura-gravação RFID para escrever dois cartões - um cartão que reprograma uma fechadura-alvo, bem como o segundo cartão falsificado que a desbloqueia. (Um telefone Android ou um Flipper Zero também poderiam ser usados para emitir um sinal após o outro em vez dos dois cartões, dizem os pesquisadores.) Os pesquisadores sugerem que o primeiro cartão lhes permite abrir um quarto-alvo sem adivinhar seu identificador exclusivo no sistema do hotel, mas se recusaram a dizer exatamente o que esse primeiro cartão faz. Eles estão mantendo esse elemento da técnica em sigilo para evitar fornecer um conjunto de instruções muito claro para potenciais intrusos ou ladrões.
Em contraste, um pesquisador de segurança apresentou um hack de cartão-chave de hotel semelhante que abria fechaduras vendidas pela empresa Onity na conferência Black Hat em 2012 sem essa obstrução e permitia que qualquer hacker construísse um dispositivo que abrisse qualquer uma das 10 milhões de fechaduras da Onity em todo o mundo. Quando a Onity se recusou a pagar pelos upgrades de hardware necessários para resolver o problema e em vez disso colocou a responsabilidade em seus clientes, o problema permaneceu sem solução em muitos hotéis - e eventualmente foi explorado em pelo menos um roubo em série transcontinental.
Carroll e Wouters dizem que estão tentando evitar esse cenário adotando uma abordagem mais cautelosa, ao mesmo tempo em que alertam o público sobre sua técnica, dado que centenas de propriedades provavelmente permanecerão vulneráveis a ela mesmo agora que a Dormakaba ofereceu sua correção. “Estamos tentando encontrar um meio-termo entre ajudar a Dormakaba a corrigir isso rapidamente, mas também informar os hóspedes sobre isso”, diz Carroll. “Se alguém mais reverter isso hoje e começar a explorá-lo antes que as pessoas estejam cientes, isso pode ser um problema ainda maior.”
Para isso, Carroll e Wouters apontam que os hóspedes de hotéis podem reconhecer as fechaduras vulneráveis mais frequentemente - mas nem sempre - por seu design distinto: um leitor de RFID redondo com uma linha ondulada cortando-o. Eles sugerem que se os hóspedes do hotel tiverem um Saflok em sua porta, eles podem determinar se ele foi atualizado verificando seu cartão-chave com o aplicativo NFC Taginfo da NXP, disponível para iOS ou Android. Se a fechadura for fabricada pela Dormakaba, e esse aplicativo mostrar que o cartão-chave ainda é um cartão MIFARE Classic, é provável que ainda esteja vulnerável.
Se for esse o caso, os dois pesquisadores dizem que não há muito a fazer além de evitar deixar objetos de valor no quarto e, quando estiverem dentro, trancar a corrente na porta. Eles alertam que o trinco na porta também é controlado pela fechadura do cartão-chave, então não fornece uma proteção extra. “Se alguém trancar o trinco, ainda não estará protegido”, diz Carroll.
Mesmo sem uma correção perfeita ou totalmente implementada, Wouters e Carroll argumentam que é melhor os hóspedes do hotel conhecerem os riscos do que terem uma falsa sensação de segurança. Afinal, eles apontam, a marca Saflok está sendo vendida há mais de três décadas e pode ter sido vulnerável por grande parte ou todo esse tempo. Embora a Dormakaba diga que não está ciente de nenhum uso anterior da técnica de Wouters e Carroll, os pesquisadores apontam que isso não significa que nunca tenha acontecido em segredo.
“Achamos que a vulnerabilidade está presente há muito tempo”, diz Wouters. “É improvável que sejamos os primeiros a descobrir isso.”