Gli smartphone sono ormai parte integrante della nostra vita quotidiana e ci permettono di svolgere un’infinità di funzioni, dalle più banali alle più complesse. Come alcune volte accade, però, questi dispositivi possono rivelarsi un’arma a doppio taglio, soprattutto quando si tratta di sicurezza. Recenti scoperte hanno messo in luce come alcuni modelli di smartphone Android possano essere usati per violare le serrature elettroniche di milioni di camere d’albergo in tutto il mondo.

Scoperta una vulnerabilità che permette agli smartphone Android di aprire numerose camere d’hotel

In un evento privato tenutosi a Las Vegas nel 2022, un gruppo di ricercatori di sicurezza è stato incaricato di hackerare una camera d’albergo, con l’obiettivo di individuare vulnerabilità non solo nella serratura digitale della porta, ma anche in altri dispositivi presenti nella stanza. Uno di questi team si è concentrato specificamente sull’apertura della porta della camera, e i risultati delle loro ricerche sono stati sconcertanti.

La vulnerabilità, ribattezzata “Unsaflok” dal team di ricercatori che l’ha scoperta (qui potete trovare maggiori informazioni), riguarda in particolare le serrature RFID Saflok prodotte dall’azienda Dormakaba. Queste serrature sono ampiamente utilizzate nel settore alberghiero e si stima che siano presenti in oltre 13.000 strutture dislocate in 161 paesi, per un totale di oltre 3 milioni di camere. La falla di sicurezza individuata dai ricercatori risiede nel sistema di crittografia e nella tecnologia RFID utilizzata dall’azienda Dormakaba.

Ma come funziona esattamente l’hack? Il processo è relativamente semplice: i malintenzionati devono prima procurarsi una keycard per una qualsiasi stanza dell’hotel presa di mira, cosa che può essere fatta prenotando una camera o recuperando una carta usata. Utilizzando un lettore RFID, dal costo di circa 300 dollari, viene letto il codice dalla carta e vengono create due nuove keycard. Quando queste due carte vengono appoggiate sulla serratura, la prima riscrive parte dei dati della serratura mentre la seconda apre effettivamente la porta.

A tal proposito va sottolineato anche che se si dispone di uno smartphone Android dotato di tecnologia Near-Field Communication (NFC), le due keycard possono essere sostituite dal telefono stesso. Scaricando infatti un’apposita app in grado di emettere segnali, lo smartphone può essere usato per emettere un segnale che sostituisce in tutto e per tutto quello delle due keycard, sbloccando così la porta.

Non è la prima volta che vengono scoperte vulnerabilità nelle serrature elettroniche degli hotel. Già nel 2012, durante la conferenza Black Hat di Las Vegas, un hacker aveva descritto un exploit in grado di sfruttare una falla presente in 10 milioni di serrature prodotte dall’azienda Onity. All’epoca l’azienda si rifiutò di pagare per l’aggiornamento delle serrature, lasciando agli hotel l’onere di apportare eventuali modifiche. Una scelta rivelatasi sbagliata, visto che i criminali iniziarono a sfruttare la vulnerabilità per entrare nelle camere d’albergo e derubare gli ospiti.

La risposta dell’azienda coinvolta e i prossimi passi

Questa volta il team che ha scoperto la vulnerabilità Unsaflok ha deciso di non rivelare pubblicamente tutti i dettagli dell’hack, nel tentativo di trovare un equilibrio tra la necessità di informare Dormakaba affinché risolva rapidamente il problema e l’esigenza di avvisare gli ospiti degli hotel. Come ha dichiarato l’hacker Ian Carroll, “se qualcun altro facesse reverse engineering di questa falla oggi e iniziasse a sfruttarla prima che le persone ne siano a conoscenza, potrebbe essere un problema ancora più grande”.

L’industria alberghiera è stata colta di sorpresa da questa rivelazione. Dal canto suo, Dormakaba, l’azienda produttrice delle serrature Saflok, ha dichiarato di essere a conoscenza della vulnerabilità e di star lavorando per risolvere il problema. Data la vasta diffusione delle loro serrature in tutto il mondo, potrebbe essere necessario del tempo per implementare una soluzione completa.

Nel frattempo, molti hotel stanno adottando misure di sicurezza aggiuntive, come l’implementazione di sistemi di sorveglianza più sofisticati e la formazione del personale per riconoscere potenziali minacce. Alcuni hotel stanno persino valutando la possibilità di sostituire completamente le loro serrature con sistemi più sicuri. Non ci resta che attendere ulteriori sviluppi sulla vicenda.

Potrebbero interessarti anche: Google Wallet introduce una modifica per aumentare la vostra sicurezza e AI per tutti: Samsung Galaxy S23, Z Flip 5 e Z Fold 5 avranno le stesse funzioni degli S24