Hơn 3 triệu khóa điện tử tồn tại hàng loạt lỗ hổng bảo mật đã có từ 36 năm

Một loạt lỗ hổng bảo mật nghiêm trọng tồn tại trên hơn 3 triệu ổ khóa điện tử RFID hiệu Saflok do hãng Dormakaba sản xuất trên toàn cầu giúp kẻ gian có thể bẻ khóa. Lỗ hổng này được phát hiện và báo cáo từ tháng 9.2022.

Lỗ hổng này được đặt tên là Unsaflok, cho phép tin tặc chỉ cần hai chiếc thẻ từ giả mạo hoặc một chiếc điện thoại Android có hỗ trợ giao tiếp NFC là có thể dễ dàng mở khóa bất kỳ cánh cửa nào sử dụng hệ thống khóa từ Saflok.

Các nhà nghiên cứu an ninh mạng cảnh báo đây là một mối đe dọa lớn đối với an ninh của các khu dân cư, các tòa nhà, các khách sạn sử dụng ổ khóa điện tử của Saflok.

Tất cả các ổ khóa Saflok sử dụng phần mềm quản lý System 6000 hoặc Ambiance, gồm các dòng sản phẩm Saflok MT, Quantum, RT, Saffire và Confidant, đều bị ảnh hưởng bởi lỗ hổng Unsaflok.

Điều đáng lo ngại là từ năm 1988 các ổ khóa này đã được sử dụng trên thị trường, nghĩa là lỗ hổng đã tồn tại hơn 36 năm.

Rất may, cho tới hiện tại các nhà nghiên cứu không phát hiện được bằng chứng nào về việc lỗ hổng này bị khai thác trong thực tế. Tuy nhiên, nguy cơ kẻ xấu lợi dụng lỗ hổng để tấn công, đột nhập vào các tòa nhà, đánh cắp tài sản hoặc gây ra những hậu quả nghiêm trọng khác vẫn đang tiềm ẩn.

Vào tháng 11.2023, Dormakaba đã phát hành bản vá cho lỗ hổng Unsaflok. Nhưng vẫn còn khoảng gần 70% số ổ khóa bị ảnh hưởng hiện chưa được vá lỗi.

Vì vậy, các nhà nghiên cứu khuyến cáo người dùng nên cập nhật phần mềm quản lý và thay thế ổ khóa nếu cần thiết để đảm bảo an ninh.