只要你曾經住過飯店或旅館,肯定都拿過店家所提供的房間房卡,然而這張小小的塑膠卡片,近來卻被資安人員爆出嚴重漏洞,導致超過 300 萬張門卡與對應門鎖成為駭客目標,必須「蛋雕」(丟掉)全數更換,或者透過數年時間緩慢更新與修復。
在 2022 年所舉辦的一場私人駭客松活動中,一群專業研究人員被邀請入侵美國賭城某家酒店的住宿房間;一年多之後,該團隊公佈研究成果:他們發現了一項全新技術,只需利用兩張特殊設計的門卡,依序輕輕觸碰門鎖,入侵者就可以在幾秒鐘之內,打開全球數百萬家飯店房間中,任何一間客房的大門。
300 萬道門面臨入侵危機,修復漏洞需數年
這項被稱為「Unsaflok」的飯店門卡駭客技術,讓有心人士幾乎可以開啟任何由瑞士鎖具製造商 Dormakaba 研發,使用 Saflok 品牌進行銷售的 RFID 房間門鎖;Saflok 門鎖目前遍布於全球 131 個國家、多達 13000 座建築物之中,合計保護著超過 300 萬道門。
駭客團隊利用 RFID 領域中 MIFARE Classic 技術的弱點,先取得目標飯店的房間門卡後,配合只需 300 美元的 RFID 讀寫設備,讀取真門卡中的特定代碼,再寫入到團隊準備好的假門卡中,接著透過第一張假門卡重置門鎖、第二張假門卡執行解鎖,即可讓入侵房間變得輕而易舉。
在上述漏洞遭到駭客團隊披露之後,許多使用 Saflok 門鎖的旅館、飯店,已經開始進行緩慢的補救措施;幸運的是飯店業者除了直接換鎖、丟掉現有門卡之外,其實還可以透過更新換前台的門卡管理系統,並讓技術人員對每個門鎖分別進行重新編碼,解決這個 8 年來長期存在的漏洞。
然而,由於不是所有 Saflok 門鎖都具備聯網功能,因此截至今年 3 月,僅有 36% 的門鎖已經得到官方更新,若想要完全修補這項漏洞,業者估計至少還需要數年。
手機數位鑰匙成解方,住客安全評價更高
資安問題促使許多連鎖飯店,加快改造房間門鎖的相關計畫;其中,數位鑰匙就被視為一種有效的解決方案,使用者只要將手機輕輕觸碰門鎖讀卡機,即可透過由飯店所配發、加入至 Apple 或 Goolge 錢包、飯店 App 中的數位鑰匙,開啟住宿房間的大門,不必再仰賴塑膠卡片。
只不過,根據市場分析公司 JD Power 向飯店業者進行的調查卻發現,目前僅有 14% 的飯店客人,願意在住宿期間使用手機數位鑰匙;即便是那些已經在手機當中,下載了連鎖飯店 App 的顧客,大多也會選擇額外索取塑膠門卡。
儘管消費者採用數位鑰匙的速度緩慢,但 JD Power 的調查數據也表明,使用手機數位鑰匙的消費者,自身感覺比起使用塑膠卡片來得更加安全;若是跟完全不使用數位鑰匙的客人相比,透過手機解鎖房門的住宿客人,對於飯店的安全評價明顯更高。
手機房卡優勢多,但 RFID 仍尚未過時
傳統飯店門禁系統的最大問題之一,就是當駭客或開發商發現門鎖漏洞時,沒有簡單、快速的方法以修補問題,但若是把智慧型手機當成門卡載體,配合已經聯網的智慧門鎖,那麼這些數位漏洞幾乎就能夠於被發現的第一時間,立即獲得官方推送更新並修復。
對此拉斯維加斯大學教授 Mehmet Erdem 認為,其實世界上並沒有任何系統,足以被稱為萬無一失,人們也不應該因為「數位化」而擁有錯誤的安全感,只要是有心人刻意進行攻擊,一切資安屏障皆有可能遭受破壞。
Mehmet Erdem 說,RFID 技術本身並沒有過時,甚至還在不斷進步,所以塑膠門卡的用途未來會變得更加廣泛,但是出於可持續性和成本考量,各大飯店仍然會繼續推動數位鑰匙,畢竟除了資安方面的優勢外,將手機當成門卡還足夠符合「人性」;現代人也許會忘記帶錢包、忘記帶身份證,但是絕對不會忘記帶手機出門,這就成了數位鑰匙的與眾不同之處。