هاتف Android هو كل ما تحتاجه لفتح أي باب غرفة فندق تقريباً
⬤ اكتشفت مجموعة قراصنة ثغرة أمنية تسمح بالوصول غير المشروع إلى ملايين الغرف الفندقية في جميع أنحاء العالم.
⬤ كل ما تحتاجه الثغرة هو هاتف يعمل بنظام Android ويتضمن خاصية اتصال NFC المستخدمة في بطاقات المفتاح.
⬤ بعد مرور أكثر من 18 شهراً على إبلاغ الشركة المعنية بالثغرة الأمنية، لا تزال ثلثا الأبواب معرضة للهجوم منخفض التعقيد.
أبرز اكتشاف حديث لمجموعة من القراصنة عن وجود خلل أمني كبير في أقفال الأبواب التي تدعم تقنية التعرف على النطاق الراديوي (RFID) والتي تستخدمها شركة الأقفال السويسرية، Dormakaba. تعد الشركة السويسرية واحدة من أكبر مزودي الأقفال الذكية التي تستخدم بطاقات المفتاح في العالم، وهو ما جعل هذه الثغرة شديدة الخطورة مع إمكان استغلالها في فتح ملايين الغرف الفندقية حول العالم.
كان مخترقان باسم إيان كارول ولينيرت ووترز قد اكتشفا الثغرة خلال مؤتمر عام 2022 وأبلغوا الشركة بها في نوفمبر من نفس العام. ومع ذلك، بعد مرور أكثر من 18 شهراً، قامت الشركة بتحديث 36% فقط من أبوابها لإصلاح الثغرة.
يمكن استغلال الثغرة الأمنية في نظام قفل بطاقة المفاتيح Saflok الخاص بـ Dormakaba باستخدام جهاز قراءة وكتابة RFID غير مكلف أو هاتف Android مزود بقدرات الاتصال قريب المدى (NFC). وكل ما يحتاجه الأمر هو استخدام الرموز المسروقة من بطاقات مفاتيح، واحدة تسمح بإعادة تعيين رمز القفل، فيما تكون الأخرى مفتاحاً بعد إعادة تعيين الرمز.
والمثير للاهتمام هو أن كل ما يحتاجه الأمر هو هاتف Android يدعم خاصية NFC مع تطبيق مخصص لمحاكاة الرموز التي عادة ما تصدرها البطاقات. وبينما نبه المخترقون شركة Dormakaba إلى الثغرة في نوفمبر 2022، ادعت الشركة أنها ستبدأ في تحديث النظام في أوائل عام 2023. غير أنّه اعتباراً من مارس 2024، حدثت الشركة 36% فقط من أبوابها لإصلاح الثغرة.
بدورها، حذرت شركة Dormakaba من أن إصلاح المشكلة قد يستغرق شهوراً أو حتى سنوات لأن العديد من أقفالها، وبالأخص القديمة منها غير متصلة بالإنترنت، وبالتالي يصعب الوصول إلى مالكيها وطلب قيامهم بتحديثها. بل سيحتاج الأمر لاستبدال الأقفال بشكل كامل في العديد من الحالات.
الجدير بالذكر، أن هذه ليست المرة الأولى التي يتم فيها اكتشاف ثغرة أمنية في أقفال أبواب الفندق. ففي عام 2012، أظهر أحد المتسللين ثغرة أمنية في أقفال بطاقة المفاتيح التي أنشأتها شركة Onity، التي تدير 10 ملايين قفل حول العالم.
رفضت شركة Onity في البداية دفع تكاليف ترقيات الأجهزة اللازمة، تاركة عملية الإصلاح للفنادق، وفي النهاية، بدأ الأشخاص في استغلال الثغرة الأمنية لسرقة الغرف. لذا كان تصرف المخترقين الجدد مسؤولاً بكونهم لم يكشفو عن كامل تفاصيل الاختراق المستخدم وبالتالي لم يفتحو الباب لشيوع السرقات.
يُسلط اكتشاف هذه الثغرة الأمنية في أقفال أبواب Dormakaba التي تدعم تقنية RFID الضوء على أهمية أخذ الأمن على محمل الجد في صناعة الضيافة. في حين اتخذت Dormakaba خطوات لمعالجة هذه المشكلة، فإن التقدم البطيء في تحديث الأبواب المتضررة يترك الملايين من غرف الفنادق عرضة لخطر الوصول غير المصرح به. والمقلق أكثر هو أن العديد من الفنادق والغالبية العظمى من الضيوف لا يدركون أنهم يتعاملون مع أقفال يمكن تجاوزها بسهولة من أي شخص يمتلك المعدات البسيطة اللازمة وبعض المعرفة بآلية عمل الثغرة.