Le serrature elettroniche (o, addirittura, “intelligenti”) saranno anche affascinanti e futuristiche ma non è detto che siano più sicure di quelle tradizionali.
Anzi, come dimostra la scoperta fatta da alcuni esperti di sicurezza, in qualche caso lo sono addirittura di meno, specialmente se per violarle basta un comune smartphone Android o poco più, quando una normale serratura richiede almeno un set di grimaldelli.
La scoperta di cui parlavamo riguarda una serie di vulnerabilità, collettivamente note come Unsaflok, che affliggono le serrature elettroniche RFID Saflok di Dormakaba, usate in circa 3 milioni di stanze di hotel in 131 Paesi.
Un malintenzionato che voglia sfruttare Unsaflok ha bisogno di una chiave elettronica proveniente dalla proprietà che intende violare (nel caso di un hotel, va benissimo quella di qualsiasi stanza: per cui è sufficiente un pernottamento per poi accedere all’intera struttura, ma va bene anche una scheda disattivata), una scheda MIFARE Classic e di un dispositivo con cui scrivere dati sulla scheda stessa: può trattarsi di un apparecchio come il Flipper Zero, ma va bene anche un normale smartphone Android con chip NFC.
Grazie a Unsaflok è possibile usare la scheda originale per trasformare la MIFARE CLASSIC in una master card, capace di aprire tutte le serrature Saflok della struttura.Le falle sono state scoperte già nel 2022 e Dormakaba è stata avvisata del problema; l’azienda ha poi quietamente informato gli hotel della necessità di aggiornare i firmware delle serrature fallate, ma al momento soltanto il 36% del totale è stato aggiornato o sostituito
Capire se un Saflok sia stato violato non è semplice: l’unico modo è verificare i log degli accessi e delle uscite dalle stanze, alla ricerca di attività sospette: la falla, pur consentendo l’apertura della porta, attribuisce infatti gli ingressi alla chiave sbagliata.
Al momento non è chiaro se Unsaflok stia venendo sfruttata, ma la sua portata è tale da rendere seria la situazione, in merito alla quale gli esperti che hanno individuato il problema non intendono per ora rivelare ulteriori dettagli tecnici.