يوم جيد للجميع. سأبدأ بالخلفية حول ما دفعني إلى إجراء هذا البحث، ولكن أولاً سأحذرك: تم تنفيذ جميع الإجراءات العملية بموافقة الهياكل الحاكمة. أي محاولة لاستخدام هذه المواد للدخول إلى منطقة محظورة دون الحق في التواجد هناك تعتبر جريمة جنائية.
بدأ كل شيء عندما قمت، أثناء تنظيف الطاولة، بوضع مفتاح دخول RFID عن طريق الخطأ على قارئ ACR122 NFC - تخيل دهشتي عندما قام Windows بتشغيل صوت اكتشاف جهاز جديد وتحول مؤشر LED إلى اللون الأخضر. حتى هذه اللحظة كنت أعتقد أن هذه المفاتيح تعمل حصريًا بمعيار القرب.
ولكن بما أن القارئ قد رأى ذلك، فهذا يعني أن المفتاح يلبي أحد البروتوكولات أعلى معيار ISO 14443 (المعروف أيضًا باسم الاتصال بالمجال القريب، 13,56 ميجاهرتز). تم نسيان التنظيف على الفور، حيث رأيت فرصة للتخلص تمامًا من مجموعة المفاتيح والاحتفاظ بمفتاح المدخل في هاتفي (تم تجهيز الشقة بقفل إلكتروني منذ فترة طويلة). بعد أن بدأت الدراسة، اكتشفت أن علامة Mifare 1k NFC مخبأة تحت البلاستيك - وهو نفس النموذج الموجود في شارات المؤسسة وبطاقات النقل وما إلى ذلك. لم تنجح محاولات الدخول إلى محتويات القطاعات في البداية، وعندما تم كسر المفتاح أخيرًا، اتضح أنه تم استخدام القطاع الثالث فقط، وتم تكرار UID الخاص بالشريحة نفسها فيه. بدا الأمر بسيطًا للغاية، واتضح أنه كذلك، ولن تكون هناك مقالة إذا سار كل شيء كما هو مخطط له تمامًا. لذلك استلمت حوصلة المفتاح، ولا توجد مشاكل إذا كنت بحاجة إلى نسخ المفتاح إلى مفتاح آخر من نفس النوع. لكن المهمة كانت تتمثل في نقل المفتاح إلى جهاز محمول، وهو ما فعلته. هذا هو المكان الذي بدأت فيه المتعة - لدينا هاتف - اي فون SE مع تثبيت الإصدار التجريبي iOS 13.4.5 الإصدار 17F5044d وبعض المكونات المخصصة للتشغيل المجاني لـ NFC - لن أتناول هذا بالتفصيل نظرًا لبعض الأسباب الموضوعية. إذا رغبت في ذلك، فإن كل ما هو مذكور أدناه ينطبق أيضًا على نظام Android، ولكن مع بعض التبسيطات.
قائمة المهام لحلها:
- الوصول إلى محتويات المفتاح.
- تنفيذ القدرة على محاكاة المفتاح بواسطة الجهاز.
إذا كان كل شيء بسيطًا نسبيًا مع الأول، فمع الثانية كانت هناك مشاكل. الإصدار الأول من المحاكي لم يعمل. تم اكتشاف المشكلة بسرعة كبيرة - على الأجهزة المحمولة (سواء iOS أو Android) في وضع المحاكاة، يكون UID ديناميكيًا، وبغض النظر عما تم تثبيته في الصورة، فإنه يطفو. الإصدار الثاني (الذي يعمل بحقوق المستخدم المتميز) قام بتثبيت الرقم التسلسلي بشكل صارم على الرقم المحدد - تم فتح الباب. ومع ذلك، أردت أن أفعل كل شيء على أكمل وجه، وانتهى بي الأمر بتجميع نسخة كاملة من المحاكي الذي يمكنه فتح ملفات Mifare ومحاكاتها. استسلمت لدافع مفاجئ، وقمت بتغيير مفاتيح القطاع إلى مفاتيح عشوائية وحاولت فتح الباب. و هي… افتتح! بعد فترة أدركت أنهم كانوا يفتحون أي الأبواب التي بها هذا القفل، حتى تلك التي لا يتناسب معها المفتاح الأصلي. وفي هذا الصدد، قمت بإنشاء قائمة جديدة من المهام التي يجب إكمالها:
- تعرف على نوع وحدة التحكم المسؤولة عن العمل مع المفاتيح
- فهم ما إذا كان هناك اتصال بالشبكة وقاعدة مشتركة
- اكتشف لماذا يصبح المفتاح غير القابل للقراءة تقريبًا عالميًا
بعد التحدث مع أحد المهندسين في شركة الإدارة، علمت أنه يتم استخدام وحدات تحكم Iron Logic z5r البسيطة دون الاتصال بشبكة خارجية.
قارئ CP-Z2 MF ووحدة تحكم IronLogic z5r
لقد حصلت على مجموعة من المعدات للتجارب:
وكما هو واضح من هنا، فإن النظام مستقل تمامًا وبدائي للغاية. في البداية اعتقدت أن وحدة التحكم كانت في وضع التعلم - المعنى هو أنها تقرأ المفتاح وتخزنه في الذاكرة وتفتح الباب - يتم استخدام هذا الوضع عندما يكون من الضروري تسجيل جميع المفاتيح، على سبيل المثال، عند استبدال المفتاح قفل في مبنى سكني. ولكن لم يتم تأكيد هذه النظرية - يتم إيقاف تشغيل هذا الوضع في البرنامج، ويكون العبور في وضع العمل - ومع ذلك، عندما نرفع الجهاز، نرى ما يلي:
لقطة شاشة لعملية المحاكاة على الجهاز
... وتشير وحدة التحكم إلى أنه تم منح الوصول.
هذا يعني أن المشكلة تكمن في برنامج وحدة التحكم أو القارئ. دعونا نتحقق من القارئ - إنه يعمل في وضع iButton، لذا فلنقم بتوصيل لوحة الأمان Bolid - سنكون قادرين على عرض بيانات الإخراج من القارئ.
سيتم توصيل اللوحة لاحقًا عبر RS232
باستخدام طريقة الاختبارات المتعددة نجد أن القارئ يبث نفس الكود في حالة فشل التفويض: 1219191919
بدأ الوضع يصبح أكثر وضوحًا، لكن في الوقت الحالي ليس من الواضح بالنسبة لي سبب استجابة وحدة التحكم بشكل إيجابي لهذا الرمز. هناك افتراض أنه عندما تم ملء قاعدة البيانات - عن طريق الصدفة أو عن قصد، تم تقديم بطاقة تحتوي على مفاتيح قطاعية أخرى - أرسل القارئ هذا الرمز وحفظته وحدة التحكم. لسوء الحظ، ليس لدي مبرمج خاص من IronLogic للنظر في قاعدة بيانات مفاتيح وحدة التحكم، ولكن أتمنى أن أكون قادرًا على لفت الانتباه إلى حقيقة وجود المشكلة. يتوفر عرض فيديو للعمل مع هذه الثغرة الأمنية .
ملحوظة: تتعارض نظرية الإضافة العشوائية مع حقيقة أنني تمكنت أيضًا في أحد مراكز الأعمال في كراسنويارسك من فتح الباب بنفس الطريقة.
المصدر: www.habr.com