Исследователи в сфере кибербезопасности рассказали об уязвимостях в 3 млн электронных RFID-замков Saflok, установленных в 13 000 отелей и домов по всему миру. Серия уязвимостей, названных Unsaflok, была обнаружена в сентябре 2022 года. Производитель замков, компания Dormakaba, получила эту информацию в ноябре 2022 года. Она сразу же начала работу над решением проблемы и информированием клиентов. Из-за масштабности проблемы 64 % замков ещё остаются уязвимыми.

Источник изображений: Unsaflok

В 2022 году исследователей пригласили на частное хакерское мероприятие в Лас-Вегасе, где они соревновались с другими командами в поиске уязвимостей в гостиничном номере и всех находящихся в нём устройствах. Команда сосредоточилась на электронном замке Saflok для гостиничных номеров, обнаружив бреши в системе безопасности, которые могли открыть любую дверь в отеле при помощи поддельной пары карт-ключей.

Для использования Unsaflok злоумышленнику достаточно получить доступ к любой карте-ключу от объекта недвижимости. Поддельные карты-ключи можно создать с помощью любой карты MIFARE Classic и любого имеющегося в продаже инструмента, способного записывать данные на эти карты, включая Poxmark3, Flipper Zero или Android-смартфона с поддержкой NFC. Оборудование, необходимое для создания двух карт, использованных в атаке, стоит менее нескольких сотен долларов США.

Исследователи провели реверс-инжиниринг программного обеспечения стойки регистрации Dormakaba и устройства программирования замков, научившись подделывать работающий мастер-ключ, который может открыть любую комнату в отеле. Чтобы клонировать карты, им пришлось взломать функцию получения ключей Dormakaba. При эксплуатации уязвимости первая карта перезаписывает данные замка, а вторая открывает замок, как показано на видео ниже.

Сегодня исследователи впервые публично раскрыли уязвимости Unsaflok, предупредив, что они затрагивают почти 3 миллиона дверей, использующих систему Saflok. Они отметили, что уязвимости были доступны уже более 36 месяцев, и, хотя подтверждённых случаев использования этой бреши в безопасности не имеется, столь длительный период существования уязвимости увеличивает такую возможность. «Хотя нам неизвестно о каких-либо реальных атаках, использующих эти уязвимости, не исключено, что эти уязвимости известны и использовались другими» , — объясняет команда Unsaflok.

Недостатки Unsaflok затрагивают несколько моделей Saflok, включая Saflok MT, Quantum, RT, Saffire и Confidant, управляемые программным обеспечением System 6000 или Ambiance. Затронутые модели используются в трех миллионах дверей на 13 000 объектах недвижимости в 131 стране. Dormakaba начала модернизацию оборудования в ноябре 2023 года, что требует перевыпуска всех карт и обновления их кодеров. По состоянию на март 2024 года 64 % замков остаются уязвимыми.

Два самых распространённых замка, подверженных уязвимости

«Сейчас мы раскрываем ограниченную информацию об уязвимости, чтобы персонал отеля и гости знали о потенциальной угрозе безопасности», — говорится в сообщении исследователей. На данный момент они не предоставили никаких дополнительных технических подробностей. Исследователи пообещали поделиться всеми подробностями атаки Unsaflok в будущем, когда усилия по восстановлению достигнут удовлетворительного уровня.

Персонал отеля может обнаружить случаи активного взлома путём мониторинга журналов входа/выхода. Однако этих данных порою недостаточно для точного обнаружения несанкционированного доступа. Гости могут определить, уязвимы ли замки в их номерах, используя приложение NFC Taginfo (Android, iOS), чтобы проверить тип карты-ключа со своего телефона. Карты MIFARE Classic указывают на вероятную уязвимость.

В связи с публичным раскрытием информации об Unsaflok, 21 марта 2024 года компания Dormakaba опубликовала заявление о бреши в безопасности, затрагивающей продукты System 6000, Ambiance и Community: «Как только нам стало известно об уязвимости, мы начали всестороннее расследование, уделили приоритетное внимание разработке и внедрению решения по смягчению последствий и начали систематически оповещать клиентов. На сегодняшний день нам не известно о случаях использования этой проблемы. [Мы стремимся] оповестить, как развиваются риски, связанные с устаревшей технологией RFID, чтобы другие могли принять меры предосторожности».

Администрация мессенджера WhatsApp ещё в прошлом году объявила о поддержке ключей доступа (passkey) как более безопасного в сравнении с паролями метода аутентификации, но до настоящего момента функция присутствовала только на Android. Теперь вход по ключам доступа появится и в WhatsApp для iPhone.

Источник изображения: wabetainfo.com

В последней бета-версии WhatsApp для iPhone появилось новое меню для настройки ключей доступа, сообщил ресурс WABetaInfo. Функция ещё не включена, но заработает она в ближайшее время, уверены исследователи приложения.

Технология ключей доступа (Passkey) разрабатывается организацией FIDO Alliance при поддержке крупнейших технологических компаний, включая Apple, Google и Microsoft. Вместо традиционных паролей она позволяет производить вход при помощи биометрии. Создание и сохранение ключей доступа в Safari и iCloud Keychain появилось в Apple iOS 16, а с iOS 17 технология распространяется и на сторонние приложения. На устройствах Apple ключи доступа работают с Face ID или Touch ID.

В ноябре WhatsApp получил поддержку входа через подтверждение по электронной почте вместо традиционных SMS. Администрация платформы также готовит возможность обмена именами пользователя вместо номеров телефона. Разрабатывается версия приложения для iPad.

В минувшем году соцсеть X лишила пользователей без премиум-подписки возможности двухфакторной авторизации по SMS. В качестве замены приложение для Apple iOS получило возможность входа по ключам доступа без пароля, но пока только в США.

Источник изображения: Bastian Riccardi / unsplash.com

Ключ доступа (Passkey) — технология авторизации, которая разрабатывается организацией FIDO Alliance и поддерживается такими крупными игроками как Apple, Google и Microsoft. Вместо традиционных паролей она позволяет пользователям производить вход при помощи биометрии. В Apple iOS 16 появилась возможность создавать и сохранять ключи доступа при помощи Safari и iCloud Keychain, а с выходом iOS 17 эта функция распространяется и на сторонние ресурсы.

В прошлом году соцсеть X отключила пользователям без премиум-подписки двухфакторную авторизацию через SMS и порекомендовала им в качестве альтернативы пользоваться такими службами как 1Password, iCloud Keychain и Google Authenticator. Теперь к ним добавился беспарольный вход при помощи ключей доступа. «Сегодня мы с радостью запустили ключи доступа как способ входа для пользователей iOS из США», — сообщила администрация платформы. Чтобы воспользоваться новой функцией, потребуется обновить приложение X до последней версии.

Компания Google представила новую версию фирменного аппаратного ключа безопасности Titan, предназначенного для защиты учётных записей пользователей. Новинка отличается от прежних версий поддержкой ключей доступа (Passkeys). Также осталась поддержка стандартных паролей.

Источник изображения: Google

Покупатели могут выбирать между двумя версиями ключа Titan: с интерфейсом USB Type-C или USB Type-A. Независимо от выбранной версии, пользователь получит устройство с поддержкой спецификации FIDO 2 для авторизации в учётных записях без пароля, которое может хранить более 250 уникальных ключей. В конструкции предусмотрен NFC-чип, что позволит использовать Titan для авторизации в учётных записях на совместимых смартфонах.

При настройке Titan пользователю будет предложено вместо пароля сгенерировать ключ и сохранить его в память устройства. В дополнение к этому можно создать PIN-код, который в дальнейшем можно использовать вместе с аппаратным ключом для авторизации в своём аккаунте Google. Ключ Titan может использоваться для защиты разных поддерживаемых учётных записей, а также выступать в качестве инструмента для двухфакторной аутентификации.

В настоящее время новые версии ключа Titan доступны для покупки в фирменном магазине Google. Версия устройства с интерфейсом USB Type-A оценена в $30, а за вариант с USB Type-C придётся заплатить $35.

«Яндекс» запустил новый беспарольный способ авторизации — по картинке. Такой способ авторизации доступен пользователям приложения «Яндекс Ключ». Об этом сообщает пресс-служба компании.

Источник изображения: «Яндекс»

При входе в аккаунт «Яндекс ID» на экране появится определённое изображение, после чего пользователю нужно выбрать аналогичную картинку в «Яндекс Ключе», который будет предлагать четыре разных варианта. В компании уточнили, что каждый раз набор демонстрируемых пользователю изображений обновляется. Согласно имеющимся данным, авторизоваться в сервисах «Яндекса» по картинке можно только используя собственное мобильное устройство. На данном этапе новая функция доступна пользователям, которые выбрали для авторизации комбинацию «Пароль + одноразовый пароль».

Напомним, «Яндекс ID» представляет собой единую учётную запись для всех сервисов компании и используется при авторизации в приложениях. В дополнение к этому «Яндекс ID» позволяет авторизоваться на более чем 15 тыс. веб-сайтов и мобильных приложений. Ранее «Яндекс» изменил политику касательно неактивных учётных записей «Яндекс ID». В соответствии с этими изменениями, неактивные аккаунты пользователей будут удаляться спустя 2,5 года бездействия. За месяц до этого компания уведомит пользователя о предстоящем удалении его учётной записи. Чтобы аккаунт не был удалён, достаточно авторизоваться с помощью «Яндекс ID» в каком-то приложении или выполнить какое-либо действие в самом аккаунте.

Служба коротких видео TikTok рассказала о поддержке безопасного входа в приложение через ключи доступа на iPhone. Фишинговые атаки с целью кражи учётных записей становятся бесполезными, потому что вход теперь можно производить через Touch ID или Face ID вместо ввода паролей. Ключ доступа сохраняется в iCloud Keychain, то есть при его установке вход можно совершать на всех устройствах Apple.

Источник изображений: newsroom.tiktok.com

Установка ключа доступа производится в настройках приложения включением соответствующей опции — далее пользователь проводит первоначальную авторизацию, и ключ сохраняется в облаке. Используемые ключами доступа биометрические данные остаются на устройстве, то есть у администрации TikTok нет доступа ни к отпечаткам пальцев, ни к профилю Face ID. На Android аналогичная функция дебютирует некоторое время спустя, да и на iPhone она пока доступна только для пользователей из Африки, Азии, Австралии и Южной Америки.

Технологии входа без пароля постепенно развёртываются в различных приложениях и на различных платформах. Microsoft запустила тестирование ключей доступа в Windows 11, а Apple добавила их в бета-версии iOS 17 и macOS Sonoma для безопасного входа в iCloud. Поддержка новой функции также появилась в приложениях GitHub, 1Password и Google Workspace. В TikTok отметили, что платформа присоединилась к FIDO Alliance — организации, предлагающей единый стандарт входа без паролей. Ранее инициативу поддержали Google, Microsoft и Apple.

На этой неделе Microsoft выпустила очередную тестовую сборку Windows 11 под номером 23486 для участников программы предварительной оценки Windows Insider. Наиболее заметным нововведением стало появление поддержки технологии ключей доступа, с помощью которых можно авторизоваться в приложениях и на веб-сайтах без необходимости вводить пароль.

Источник изображения: Uzair_Ahmed/pixabay.com

Пользователи упомянутой сборки могут использовать Windows Hello для создания PIN-кода, а также ключа доступа на основе отпечатка пальцев или скана лица. В дальнейшем такой ключ доступа может применяться для авторизации в поддерживаемых приложениях и на веб-сайтах. Например, пользователь может перейти на веб-сайт с поддержкой ключей доступа, настроить новый способ проверки подлинности личности, после чего использовать ключ доступа для авторизации. Управлять ключами доступа можно в соответствующем разделе в параметрах ОС, для чего достаточно перейти в меню «Учётные записи» и выбрать пункт «Ключи доступа».

Хотя браузер Microsoft Edge уже давно поддерживает базовый стандарт веб-аутентификации с помощью ключей доступа, добавление поддержки этой технологии в Windows Hello сделает проще процесс управления данными пользователей на уровне операционной системы. Использование ключей доступа считается наиболее безопасным методом аутентификации, поскольку их, в отличие от обычных паролей, злоумышленники не смогут похитить в результате фишинговой атаки или подобрать методом перебора.

Google объявила, что общедоступная версия браузера Chrome теперь поддерживает ключи доступа — решение, предназначенное для аутентификации пользователей на различных ресурсах без необходимости запоминать и вводить пароль. Ключи доступа работают в последней версии Chrome под Windows 11, macOS и Android.

Источник изображения: blog.chromium.org

Классический механизм аутентификации с логинами и паролями в современных реалиях может представляться недостаточно надёжным: для эффективной защиты рекомендуется не просто придумывать длинные и сложные пароли, а пользоваться программами-менеджерами, которые их генерируют и хранят. Ключи доступа предлагают более эффективную защиту. Основная часть ключа — некий токен, который хранится на устройстве пользователя. При запросе на аутентификацию токен связывается с соответствующим сайтом или приложением, не отправляя пароля, который, соответственно, не получится похитить.

Для доступа к токену система просит пользователя подтвердить свою личность, например, при помощи сканера отпечатков пальцев на мобильном телефоне. Аналогичным образом этот механизм работает и на ПК, в теории позволяя отказаться от ввода паролей на любом сайте, поддерживающем такой метод. Для подтверждения личности может использоваться приложение Windows Hello с возможностью сканирования лица или отпечатка пальца, располагающий аналогичными возможностями смартфон либо USB-ключ — все три варианта равнозначны.

Ведущий мировой производитель автомобилей, компания Toyota, заявил о намерении заменить один из двух умных ключей, которые входя в комплект автомобиля в Японии, на обычный механический ключ. Компания испытывает дефицит подходящих чипов, но стремится вовремя удовлетворить спрос на машины.

Источник изображения: Christina Telep/unsplash.com

«Поскольку нехватка полупроводников продолжается, это временная мера, направленная на доставку машин клиентам настолько быстро, насколько возможно», — заявляют в Toyota, извиняясь за причиняемые неудобства.

По данным автоконцерна, вторые экземпляры смарт-ключей будут доставляться клиентам по мере готовности. Смарт-ключи Toyota позволяют открывать двери и багажник, а также запускать двигатель автомобиля, не вынимая ключа из кармана. Ранее в комплекте с машинами поставлялось по два экземпляра таких ключей, но теперь будет только по одному.

Известно, что дефицит полупроводниковой продукции вызвал острую нехватку комплектующих для производства автомобилей, многим покупателям в некоторых случаях уже приходится годами ждать поставок.

Особенно сильно Toyota пострадала в текущем году, поскольку к обычному дефициту добавились стихийные бедствия и прочие проблемы. На прошлой неделе компания предупредила, что, вероятно, не сможет выпустить запланированные на текущий финансовый год 9,7 млн автомобилей.