Milioni di stanze d'albergo vulnerabili agli smartphone Android

Era il 2022, quando durante un evento privato a Las Vegas alcuni ricercatori di sicurezza informatica si sono cimentati nell'hackerare una stanza d'albergo. Oltre a dimostrare di poter superare la serratura digitale della porta, in quell'occasione avevano cercato vulnerabilità in altri dispositivi elettronici presenti nella stanza e uno dei team si era concentrato proprio sull'apertura con metodi non convenzionali. Ora, nel 2024, è stato rivelato un metodo che consentirebbe a chiunque possiede uno smartphone Android di aprire milioni di stanze d'albergo nel mondo in pochi secondi.

Lo riporta Wired, secondo cui un team di ricercatori ha scoperto una falla nei sistemi di accesso elettronico degli hotel, denominata Unsaflok. Questa vulnerabilità riguarda le serrature elettroniche RFID Saflok prodotte da Dormakaba. Attraverso Unsaflok, sarebbe possibile aprire oltre 3 milioni di stanze d'albergo in più di 13.000 strutture ricettive sparse in ben 161 Paesi. I ricercatori hanno sfruttato delle falle nella crittografia e nel sistema RFID di Dormakaba.

Ecco come funziona la falla: i cybercriminali si procurerebbero una carta magnetica di una qualsiasi stanza dell'albergo target. Potrebbero ottenerla prenotando una camera o recuperandone una usata. Utilizzando un lettore/scrittore RFID, dal costo di 300 euro circa, potrebbero leggere il codice dalla carta e creare due duplicati. Appoggiando le due carte sulla serratura, la prima sovrascriverebbe parte dei dati della serratura, mentre la seconda la aprirebbe. I modelli di serratura più colpiti da Unsaflok sono Saflok MT e Saflok RT Plus.

Sicurezza 14 Feb

Tuttavia, la situazione si complica ulteriormente. Se si possiede uno smartphone Android dotato della tecnologia NFC (Near-Field Communication), le due carte magnetiche potrebbero essere sostituite dallo smartphone stesso. Scaricando un'app in grado di emettere segnali specifici, il telefono potrebbe emulare le carte e sbloccare la porta.

Già nel 2012, durante la conferenza Black Hat tenutasi a Las Vegas, un hacker aveva rivelato una falla simile che poteva essere sfruttata per aprire 10 milioni di serrature prodotte da Onity. Purtroppo, Onity si rifiutò di aggiornare le serrature, lasciando agli alberghi l'onere di provvedere autonomamente, con conseguenze negative per la sicurezza degli ospiti.

Questa volta, il team di Unsaflok ha deciso di non divulgare completamente il funzionamento della falla al pubblico. Il ricercatore Ian Carroll ha dichiarato quanto segue.

"Stiamo cercando un compromesso per aiutare Dormakaba a risolvere il problema rapidamente, ma allo stesso tempo informare gli ospiti dei rischi. Se qualcun altro riuscisse a scoprire autonomamente la falla e a sfruttarla prima che le persone ne siano a conoscenza, il problema potrebbe diventare ancora più grave."

A proposito di attacchi hacker, lo sapevate che lo scorso mese la premier Giorgia Meloni ha avuto una piccola disavventura? Un hacker è riuscito a introdursi nel suo profilo Instagram da oltre 2,6 milioni di follower per pubblicare una manciata di post e storie a tema cripto, ma a quanto pare tutto si è risolto senza ulteriori problematiche.