Dydd da i bawb. Dechreuaf gyda’r cefndir am yr hyn a’m hysgogodd i gynnal yr ymchwil hwn, ond yn gyntaf byddaf yn eich rhybuddio: cyflawnwyd pob cam ymarferol gyda chaniatâd y strwythurau llywodraethu. Mae unrhyw ymgais i ddefnyddio’r deunydd hwn i fynd i mewn i ardal gyfyngedig heb yr hawl i fod yno yn drosedd.
Dechreuodd y cyfan pan, wrth lanhau'r bwrdd, gosodais allwedd mynediad RFID yn ddamweiniol ar y darllenydd ACR122 NFC - dychmygwch fy syndod pan chwaraeodd Windows sain canfod dyfais newydd a throi'r LED yn wyrdd. Hyd at y foment hon, roeddwn i'n credu bod yr allweddi hyn yn gweithio yn y safon Agosrwydd yn unig.
Ond ers i'r darllenydd ei weld, mae'n golygu bod yr allwedd yn cwrdd ag un o'r protocolau ar ben safon ISO 14443 (aka Near Field Communication, 13,56 MHz). Anghofiwyd glanhau ar unwaith, wrth i mi weld cyfle i gael gwared yn llwyr ar y set o allweddi a chadw'r allwedd i'r fynedfa yn fy ffôn (mae clo electronig wedi'i gyfarparu yn y fflat ers amser maith). Ar ôl dechrau astudio, darganfyddais fod tag Mifare 1k NFC wedi'i guddio o dan y plastig - yr un model ag mewn bathodynnau menter, cardiau trafnidiaeth, ac ati. Ni ddaeth ymdrechion i fynd i mewn i gynnwys y sectorau â llwyddiant ar y dechrau, a phan gracio'r allwedd yn olaf, daeth i'r amlwg mai dim ond y 3ydd sector a ddefnyddiwyd, a chafodd UID y sglodyn ei hun ei ddyblygu ynddo. Roedd yn edrych yn rhy syml, ac roedd yn troi allan i fod felly, ac ni fyddai erthygl pe bai popeth yn mynd yn union fel y cynlluniwyd. Felly derbyniais giblets yr allwedd, a does dim problemau os oes angen i chi gopïo'r allwedd i un arall o'r un math. Ond y dasg oedd trosglwyddo'r allwedd i ddyfais symudol, a dyna wnes i. Dyma lle dechreuodd yr hwyl - mae gennym ffôn - iPhone SE gyda sefydledig iOS 13.4.5 Beta adeiladu 17F5044d a rhai cydrannau arfer ar gyfer gweithrediad rhad ac am ddim o NFC - ni fyddaf yn canolbwyntio ar hyn yn fanwl oherwydd rhai rhesymau gwrthrychol. Os dymunir, mae popeth a ddywedir isod hefyd yn berthnasol i'r system Android, ond gyda rhai symleiddio.
Rhestr o dasgau i'w datrys:
- Cyrchwch gynnwys yr allwedd.
- Gweithredu'r gallu i efelychu allwedd gan y ddyfais.
Os gyda'r cyntaf roedd popeth yn gymharol syml, yna gyda'r ail roedd problemau. Ni weithiodd fersiwn gyntaf yr efelychydd. Darganfuwyd y broblem yn eithaf cyflym - ar ddyfeisiau symudol (naill ai iOS neu Android) yn y modd efelychu, mae'r UID yn ddeinamig a, waeth beth sydd wedi'i wifro â'r ddelwedd, mae'n arnofio. Mae'r ail fersiwn (redeg gyda hawliau superuser) gosod anhyblyg y rhif cyfresol ar yr un a ddewiswyd - y drws yn agor. Fodd bynnag, roeddwn i eisiau gwneud popeth yn berffaith, ac yn y diwedd lluniodd fersiwn gyflawn o'r efelychydd a allai agor twmpathau Mifare a'u hefelychu. Gan ildio i ysgogiad sydyn, newidiais allweddi'r sector i rai mympwyol a cheisio agor y drws. Ac mae hi… AR AGOR! Ar ôl ychydig sylweddolais eu bod yn agor unrhyw drysau gyda'r clo hwn, hyd yn oed y rhai nad oedd yr allwedd wreiddiol yn ffitio iddynt. Yn hyn o beth, creais restr newydd o dasgau i'w cwblhau:
- Darganfyddwch pa fath o reolwr sy'n gyfrifol am weithio gydag allweddi
- Deall a oes cysylltiad rhwydwaith a sylfaen gyffredin
- Darganfyddwch pam mae allwedd bron yn annarllenadwy yn dod yn gyffredinol
Ar ôl siarad â pheiriannydd yn y cwmni rheoli, dysgais fod rheolwyr syml Iron Logic z5r yn cael eu defnyddio heb gysylltu â rhwydwaith allanol.
Darllenydd CP-Z2 MF a rheolydd IronLogic z5r
Cefais set o offer ar gyfer yr arbrofion:
Fel sy'n amlwg o'r fan hon, mae'r system yn gwbl ymreolaethol ac yn hynod gyntefig. Ar y dechrau, roeddwn i'n meddwl bod y rheolydd yn y modd dysgu - yr ystyr yw ei fod yn darllen yr allwedd, yn ei storio yn y cof ac yn agor y drws - defnyddir y modd hwn pan fydd angen cofnodi'r holl allweddi, er enghraifft, wrth ailosod y cloi mewn adeilad fflatiau. Ond ni chadarnhawyd y ddamcaniaeth hon - mae'r modd hwn wedi'i ddiffodd mewn meddalwedd, mae'r siwmper yn y safle gweithio - ac eto, pan fyddwn yn dod â'r ddyfais i fyny, gwelwn y canlynol:
Ciplun o'r broses efelychu ar y ddyfais
... ac mae'r rheolydd yn nodi bod mynediad wedi'i ganiatáu.
Mae hyn yn golygu bod y broblem yn gorwedd ym meddalwedd naill ai'r rheolydd neu'r darllenydd. Gadewch i ni wirio'r darllenydd - mae'n gweithio yn y modd iButton, felly gadewch i ni gysylltu'r bwrdd diogelwch Bolid - byddwn yn gallu gweld y data allbwn gan y darllenydd.
Bydd y bwrdd yn cael ei gysylltu yn ddiweddarach trwy RS232
Gan ddefnyddio'r dull o brofion lluosog, rydym yn darganfod bod y darllenydd yn darlledu'r un cod â rhag ofn y bydd awdurdodiad yn methu: 1219191919
Mae'r sefyllfa'n dechrau dod yn gliriach, ond ar hyn o bryd nid yw'n glir i mi pam mae'r rheolwr yn ymateb yn gadarnhaol i'r cod hwn. Mae yna ragdybiaeth pan gafodd y gronfa ddata ei llenwi - yn ddamweiniol neu'n bwrpasol y cyflwynwyd cerdyn gydag allweddi sector eraill - anfonodd y darllenydd y cod hwn a'i arbed gan y rheolydd. Yn anffodus, nid oes gennyf raglennydd perchnogol o IronLogic i edrych i mewn i'r gronfa ddata allwedd rheolydd, ond rwy'n gobeithio fy mod wedi gallu tynnu sylw at y ffaith bod y broblem yn bodoli. Mae arddangosiad fideo o weithio gyda'r bregusrwydd hwn ar gael .
PS Mae'r ddamcaniaeth adio ar hap yn cael ei wrthwynebu gan y ffaith fy mod hefyd wedi llwyddo i agor y drws gan ddefnyddio'r un dull mewn un ganolfan fusnes yn Krasnoyarsk.
Ffynhonnell: hab.com