Dobrý den všem. Začnu pozadím toho, co mě vedlo k provedení tohoto výzkumu, ale nejprve vás varuji: všechny praktické akce byly provedeny se souhlasem řídících struktur. Jakýkoli pokus použít tento materiál ke vstupu do omezené oblasti bez práva tam být je trestným činem.
Všechno to začalo, když jsem při čištění stolu omylem položil vstupní RFID klíč na čtečku ACR122 NFC – představte si moje překvapení, když Windows přehrál zvuk detekce nového zařízení a LED se rozsvítila zeleně. Do této chvíle jsem věřil, že tyto klávesy fungují výhradně ve standardu Proximity.
Ale protože to čtenář viděl, znamená to, že klíč splňuje jeden z protokolů nad rámec normy ISO 14443 (aka Near Field Communication, 13,56 MHz). Na úklid se hned zapomnělo, protože jsem viděl možnost se sady klíčů úplně zbavit a klíč od vchodu si ponechat v telefonu (byt je již dávno vybaven elektronickým zámkem). Když jsem začal studovat, zjistil jsem, že pod plastem je skrytá značka Mifare 1k NFC - stejný model jako u podnikových odznaků, dopravních karet atd. Pokusy dostat se do obsahu sektorů zpočátku nepřinášely úspěch a když byl klíč konečně prolomen, ukázalo se, že byl použit pouze 3. sektor a v něm bylo duplikováno UID samotného čipu. Vypadalo to příliš jednoduše a ukázalo se, že tomu tak je, a nebyl by žádný článek, kdyby vše šlo přesně podle plánu. Dostal jsem tedy droby klíče a nejsou žádné problémy, pokud potřebujete zkopírovat klíč na jiný stejného druhu. Úkolem ale bylo přenést klíč do mobilního zařízení, což jsem udělal. Tady začala zábava - máme telefon - iPhone SE s nainstalovaným iOS 13.4.5 Beta sestavení 17F5044d a nějaké zakázkové komponenty pro volný provoz NFC - tím se z nějakých objektivních důvodů nebudu podrobně zabývat. Pokud je to žádoucí, vše níže uvedené platí také pro systém Android, ale s určitými zjednodušeními.
Seznam úkolů k řešení:
- Přístup k obsahu klíče.
- Implementujte schopnost emulovat klíč zařízením.
Pokud u prvního bylo vše relativně jednoduché, pak u druhého byly problémy. První verze emulátoru nefungovala. Problém byl odhalen poměrně rychle – na mobilních zařízeních (ať už iOS nebo Android) v emulačním režimu je UID dynamické a bez ohledu na to, co je napevno zapojené do obrazu, plave. Druhá verze (běh s právy superuživatele) pevně upevnila sériové číslo na vybranou - dveře se otevřely. Chtěl jsem však udělat vše dokonale a nakonec jsem dal dohromady kompletní verzi emulátoru, který by mohl otevírat výpisy Mifare a emulovat je. Podlehl náhlému popudu, vyměnil jsem sektorové klíče za libovolné a pokusil se otevřít dveře. A ona… OTEVŘENO! Po chvíli jsem si uvědomil, že se otevírají jakýkoli dveře s tímto zámkem, a to i ty, ke kterým se původní klíč nevešel. V tomto ohledu jsem vytvořil nový seznam úkolů, které je třeba splnit:
- Zjistěte, jaký typ ovladače je zodpovědný za práci s klávesami
- Pochopte, zda existuje síťové připojení a společná základna
- Zjistěte, proč se prakticky nečitelný klíč stává univerzálním
Po rozhovoru s inženýrem ze správcovské společnosti jsem se dozvěděl, že jednoduché ovladače Iron Logic z5r se používají bez připojení k externí síti.
Čtečka CP-Z2 MF a ovladač IronLogic z5r
Dostal jsem sadu vybavení pro experimenty:
Jak je odtud zřejmé, systém je zcela autonomní a extrémně primitivní. Nejprve jsem si myslel, že ovladač je v režimu učení - to znamená, že klíč načte, uloží do paměti a otevře dveře - tento režim se používá, když je potřeba zaznamenat všechny klíče, např. při výměně klíče. zámek v bytovém domě. Tato teorie se ale nepotvrdila - tento režim je softwarově vypnutý, propojka je v pracovní poloze - a přesto, když zařízení zvedneme, vidíme následující:
Snímek obrazovky procesu emulace na zařízení
... a ovladač signalizuje, že přístup byl udělen.
To znamená, že problém spočívá v softwaru ovladače nebo čtečky. Zkontrolujeme čtečku – funguje v režimu iButton, připojíme tedy bezpečnostní desku Bolid – budeme moci prohlížet výstupní data ze čtečky.
Deska bude později připojena přes RS232
Metodou více testů zjistíme, že čtečka v případě selhání autorizace vysílá stejný kód s: 1219191919
Situace se začíná vyjasňovat, ale v tuto chvíli mi není jasné, proč ovladač na tento kód reaguje kladně. Je předpoklad, že při naplnění databáze - náhodně nebo záměrně byla předložena karta s jinými sektorovými klíči - odeslala čtečka tento kód a kontrolér jej uložil. Bohužel nemám proprietárního programátora od IronLogic, který by se podíval do databáze klíčů řadiče, ale doufám, že se mi podařilo upozornit na skutečnost, že problém existuje. K dispozici je videoukázka práce s touto chybou zabezpečení .
PS Teorii náhodného sčítání oponuje skutečnost, že v jednom obchodním centru v Krasnojarsku se mi také podařilo otevřít dveře stejnou metodou.
Zdroj: www.habr.com