Hyvää päivää kaikille. Aloitan taustalla siitä, mikä sai minut tekemään tämän tutkimuksen, mutta ensin varoitan: kaikki käytännön toimet tehtiin hallintorakenteiden suostumuksella. Kaikki yritykset käyttää tätä materiaalia pääsyyn rajoitetulle alueelle ilman oikeutta olla siellä on rikos.
Kaikki alkoi siitä, kun pöytää siivoessani laitoin vahingossa RFID-sisäänkäynnin avaimen ACR122 NFC -lukijaan - kuvittele ihmetykseni, kun Windows soitti uuden laitteen havaitsevan äänen ja LED muuttui vihreäksi. Tähän asti uskoin, että nämä näppäimet toimivat yksinomaan Proximity-standardissa.
Mutta koska lukija näki sen, se tarkoittaa, että avain täyttää yhden ISO 14443 -standardin (alias Near Field Communication, 13,56 MHz) protokollista. Siivous unohtui heti, kun näin mahdollisuuden päästä kokonaan eroon avainsarjasta ja pitää sisäänkäynnin avain puhelimessani (asunto on ollut pitkään varustettu elektronisella lukolla). Opiskelun aloittamisen jälkeen huomasin, että muovin alla on piilotettu Mifare 1k NFC -tunniste - sama malli kuin yritysmerkeissä, kuljetuskorteissa jne. Yritykset päästä sektoreiden sisältöön eivät tuottaneet aluksi menestystä, ja kun avain lopulta murtui, kävi ilmi, että käytettiin vain 3. sektoria ja itse sirun UID kopioitiin siihen. Se näytti liian yksinkertaiselta, ja niin se osoittautuikin, eikä artikkelia olisi, jos kaikki menisi täsmälleen suunnitelmien mukaan. Joten sain avaimen sisälmykset, eikä mitään ongelmia ole, jos sinun täytyy kopioida avain toiseen samanlaiseen. Mutta tehtävänä oli siirtää avain mobiililaitteeseen, minkä tein. Tästä hauskuus alkoi - meillä on puhelin - iPhone SE asennettuna iOS 13.4.5 Beta build 17F5044d ja joitain mukautettuja komponentteja NFC:n vapaaseen käyttöön - en käsittele tätä yksityiskohtaisesti joistakin objektiivisista syistä. Haluttaessa kaikki alla sanottu koskee myös Android-järjestelmää, mutta tietyin yksinkertaistuksin.
Lista ratkaistavista tehtävistä:
- Avaa avaimen sisältö.
- Ota käyttöön kyky emuloida avainta laitteella.
Jos ensimmäisessä kaikki oli suhteellisen yksinkertaista, niin toisessa oli ongelmia. Emulaattorin ensimmäinen versio ei toiminut. Ongelma havaittiin melko nopeasti - mobiililaitteissa (joko iOS tai Android) emulointitilassa UID on dynaaminen ja riippumatta siitä, mitä kuvaan on kytketty, se kelluu. Toinen versio (superkäyttäjäoikeuksilla suoritettu) kiinnitti tiukasti sarjanumeron valittuun - ovi avautui. Halusin kuitenkin tehdä kaiken täydellisesti, ja päädyin kokoamaan täydellisen version emulaattorista, joka voisi avata Mifare-kaappauksia ja emuloida niitä. Äkilliselle impulssille myöntyen vaihdoin sektoriavaimet mielivaltaisiin ja yritin avata ovea. Ja hän… AVAIN! Hetken kuluttua tajusin, että ne avautuivat kaikki ovet tällä lukolla, myös ne, joihin alkuperäinen avain ei sopinut. Tätä varten loin uuden luettelon suoritettavista tehtävistä:
- Selvitä, millainen ohjain vastaa avainten kanssa työskentelystä
- Ymmärrä, onko olemassa verkkoyhteys ja yhteinen tukikohta
- Ota selvää, miksi käytännöllisesti katsoen lukukelvottomasta avaimesta tulee universaali
Keskusteltuani rahastoyhtiön insinöörin kanssa sain tietää, että yksinkertaisia Iron Logic z5r -ohjaimia käytetään ilman yhteyttä ulkoiseen verkkoon.
CP-Z2 MF -lukija ja IronLogic z5r -ohjain
Minulle annettiin sarja laitteita kokeita varten:
Kuten tästä selviää, järjestelmä on täysin itsenäinen ja erittäin primitiivinen. Aluksi luulin, että ohjain on oppimistilassa - se tarkoittaa, että se lukee avaimen, tallentaa sen muistiin ja avaa oven - tätä tilaa käytetään, kun on tarpeen tallentaa kaikki avaimet, esimerkiksi vaihdettaessa lukita kerrostaloon. Mutta tätä teoriaa ei vahvistettu - tämä tila on poistettu käytöstä ohjelmistossa, hyppyjohdin on työasennossa - ja kuitenkin, kun tuomme laitteen esiin, näemme seuraavan:
Kuvakaappaus laitteen emulointiprosessista
... ja ohjain ilmoittaa, että pääsy on myönnetty.
Tämä tarkoittaa, että ongelma on joko ohjaimen tai lukijan ohjelmistossa. Tarkastetaan lukija - se toimii iButton-tilassa, joten liitetään Bolid-turvakortti - voimme tarkastella lukijan lähtötietoja.
Levy liitetään myöhemmin RS232:n kautta
Useiden testien menetelmää käyttämällä saamme selville, että lukija lähettää saman koodin valtuutuksen epäonnistuessa: 1219191919
Tilanne alkaa selkiytyä, mutta tällä hetkellä minulle ei ole selvää, miksi ohjain reagoi myönteisesti tähän koodiin. Oletuksena on, että kun tietokanta täyttyi - vahingossa tai tarkoituksella esitettiin kortti muilla sektoriavaimilla - lukija lähetti tämän koodin ja ohjain tallensi sen. Valitettavasti minulla ei ole IronLogicin omaa ohjelmoijaa tutkimaan ohjaimen avaintietokantaa, mutta toivon, että pystyin kiinnittämään huomion ongelman olemassaoloon. Saatavilla on videoesittely tämän haavoittuvuuden kanssa työskentelemisestä .
PS Satunnaislisäysteoriaa vastustaa se, että onnistuin avaamaan oven samalla menetelmällä yhdessä Krasnojarskin bisneskeskuksessa.
Lähde: will.com