Guten Tag allerseits. Ich beginne mit dem Hintergrund dessen, was mich dazu veranlasst hat, diese Forschung durchzuführen, aber zuerst möchte ich Sie warnen: Alle praktischen Maßnahmen wurden mit Zustimmung der Regierungsstrukturen durchgeführt. Jeder Versuch, mit diesem Material einen Sperrbereich zu betreten, ohne sich dort aufhalten zu dürfen, stellt eine Straftat dar.
Alles begann, als ich beim Reinigen des Tisches versehentlich den RFID-Zugangsschlüssel auf den ACR122-NFC-Leser steckte – stellen Sie sich meine Überraschung vor, als Windows das Geräusch der Erkennung eines neuen Geräts abspielte und die LED grün wurde. Bis zu diesem Moment glaubte ich, dass diese Tasten ausschließlich im Proximity-Standard funktionieren.
Da der Leser es jedoch gesehen hat, bedeutet dies, dass der Schlüssel eines der Protokolle zusätzlich zum ISO 14443-Standard erfüllt (auch bekannt als Near Field Communication, 13,56 MHz). Das Putzen wurde sofort vergessen, da ich eine Möglichkeit sah, den Schlüsselbund komplett loszuwerden und den Schlüssel zum Eingang in meinem Telefon zu behalten (die Wohnung ist seit langem mit einem elektronischen Schloss ausgestattet). Als ich mit dem Studium begann, fand ich heraus, dass sich unter dem Plastik ein Mifare 1k NFC-Tag verbirgt – das gleiche Modell wie in Unternehmensausweisen, Transportkarten usw. Versuche, an den Inhalt der Sektoren zu gelangen, brachten zunächst keinen Erfolg, und als der Schlüssel schließlich geknackt wurde, stellte sich heraus, dass nur der 3. Sektor verwendet wurde und die UID des Chips selbst darin dupliziert war. Es sah zu einfach aus, und es stellte sich heraus, dass es so war, und es gäbe keinen Artikel, wenn alles genau wie geplant verlaufen würde. Ich habe also die Innereien des Schlüssels erhalten, und es gibt keine Probleme, wenn Sie den Schlüssel auf einen anderen Schlüssel derselben Art kopieren müssen. Die Aufgabe bestand jedoch darin, den Schlüssel auf ein mobiles Gerät zu übertragen, was ich auch getan habe. Hier begann der Spaß – wir haben ein Telefon – iPhone SE mit installiert iOS 13.4.5 Beta-Build 17F5044d und einige benutzerdefinierte Komponenten für den kostenlosen Betrieb von NFC – darauf werde ich aus objektiven Gründen nicht näher eingehen. Auf Wunsch gilt alles, was im Folgenden gesagt wird, auch für das Android-System, allerdings mit einigen Vereinfachungen.
Liste der zu lösenden Aufgaben:
- Greifen Sie auf den Inhalt des Schlüssels zu.
- Implementieren Sie die Möglichkeit, einen Schlüssel durch das Gerät zu emulieren.
Wenn beim ersten alles relativ einfach war, gab es beim zweiten Probleme. Die erste Version des Emulators funktionierte nicht. Das Problem wurde recht schnell entdeckt: Auf mobilen Geräten (entweder iOS oder Android) ist die UID im Emulationsmodus dynamisch und unabhängig davon, was im Bild fest verdrahtet ist, schwebt sie. Die zweite Version (mit Superuser-Rechten ausgeführt) fixierte die Seriennummer starr auf der ausgewählten – die Tür öffnete sich. Ich wollte jedoch alles perfekt machen und habe am Ende eine vollständige Version des Emulators zusammengestellt, mit der Mifare-Dumps geöffnet und emuliert werden können. Ich gab einem plötzlichen Impuls nach, tauschte die Sektorschlüssel gegen willkürliche aus und versuchte, die Tür zu öffnen. Und sie… GEÖFFNET! Nach einer Weile wurde mir klar, dass sie sich öffneten jeder Türen mit diesem Schloss, auch solche, zu denen der Originalschlüssel nicht passte. In diesem Zusammenhang habe ich eine neue Aufgabenliste erstellt, die erledigt werden muss:
- Finden Sie heraus, welcher Controller für die Arbeit mit Schlüsseln verantwortlich ist
- Verstehen Sie, ob eine Netzwerkverbindung und eine gemeinsame Basis besteht
- Finden Sie heraus, warum ein praktisch unleserlicher Schlüssel universell wird
Nach einem Gespräch mit einem Ingenieur der Verwaltungsgesellschaft erfuhr ich, dass einfache Iron Logic z5r-Controller ohne Verbindung zu einem externen Netzwerk verwendet werden.
CP-Z2 MF-Leser und IronLogic z5r-Controller
Für die Experimente erhielt ich eine Reihe von Geräten:
Wie hier deutlich wird, ist das System völlig autonom und äußerst primitiv. Zuerst dachte ich, dass sich der Controller im Lernmodus befindet – das heißt, er liest den Schlüssel, speichert ihn im Speicher und öffnet die Tür – dieser Modus wird verwendet, wenn es notwendig ist, alle Schlüssel aufzuzeichnen, zum Beispiel beim Ersetzen des Einsperren in einem Mehrfamilienhaus. Diese Theorie wurde jedoch nicht bestätigt – dieser Modus ist in der Software deaktiviert, der Jumper befindet sich in der Arbeitsposition – und dennoch sehen wir beim Hochfahren des Geräts Folgendes:
Screenshot des Emulationsprozesses auf dem Gerät
... und der Controller signalisiert, dass der Zugriff gewährt wurde.
Das bedeutet, dass das Problem entweder in der Software des Controllers oder des Lesegeräts liegt. Lassen Sie uns den Leser überprüfen – er funktioniert im iButton-Modus, also schließen wir die Bolid-Sicherheitsplatine an – wir können die Ausgabedaten des Lesers sehen.
Die Anbindung der Platine erfolgt später über RS232
Mithilfe der Methode mehrerer Tests stellen wir fest, dass der Leser bei einem Autorisierungsfehler denselben Code sendet: 1219191919
Die Situation wird langsam klarer, aber im Moment ist mir nicht klar, warum der Controller positiv auf diesen Code reagiert. Es besteht die Vermutung, dass beim Füllen der Datenbank – versehentlich oder absichtlich eine Karte mit anderen Sektorschlüsseln vorgelegt wurde – das Lesegerät diesen Code gesendet und der Controller ihn gespeichert hat. Leider habe ich keinen proprietären Programmierer von IronLogic, um in die Controller-Schlüsseldatenbank zu schauen, aber ich hoffe, ich konnte darauf aufmerksam machen, dass das Problem besteht. Eine Videodemonstration zum Umgang mit dieser Sicherheitslücke ist verfügbar .
PS Der Zufallsadditionstheorie steht die Tatsache entgegen, dass ich es in einem Geschäftszentrum in Krasnojarsk auch geschafft habe, die Tür mit der gleichen Methode zu öffnen.
Source: habr.com