Gudden Dag fir all. Ech fänke mam Hannergrond un, wat mech gefrot huet fir dës Fuerschung ze maachen, awer fir d'éischt warnen ech Iech: all praktesch Aktiounen goufen mat der Zoustëmmung vun de Regierungsstrukturen duerchgefouert. All Versuch dëst Material ze benotzen fir e beschränkt Gebitt anzeginn ouni d'Recht do ze sinn ass eng kriminell Beleidegung.
Et huet alles ugefaang, wann ech beim Botzen vum Dësch zoufälleg den RFID-Entrée-Schlëssel op den ACR122 NFC Lieser gesat hunn - stellt Iech meng Iwwerraschung vir, wann Windows den Toun gespillt huet fir en neien Apparat z'entdecken an d'LED gouf gréng. Bis zu dësem Moment hunn ech gegleeft datt dës Schlësselen exklusiv am Proximity Standard funktionnéieren.
Awer well de Lieser et gesinn huet, heescht et datt de Schlëssel entsprécht engem vun de Protokoller uewen um ISO 14443 Standard (alias Near Field Communication, 13,56 MHz). Botzen gouf direkt vergiess, well ech eng Geleeënheet gesinn hunn, de Set vu Schlësselen komplett ze läschen an de Schlëssel fir d'Entrée a mengem Telefon ze halen (d'Appartement ass laang mat engem elektronesche Schloss ausgestatt). Nodeems ech ugefaang hunn ze studéieren, hunn ech erausfonnt datt ënner dem Plastik e Mifare 1k NFC Tag verstoppt ass - dee selwechte Modell wéi an Enterprise Badges, Transportkaarten, etc. Versuche fir an den Inhalt vun de Secteuren ze kommen, hunn am Ufank keen Erfolleg bruecht, a wann de Schlëssel endlech geknackt gouf, huet sech erausgestallt datt nëmmen den 3. Secteur benotzt gouf, an d'UID vum Chip selwer duplizéiert gouf. Et huet ze einfach ausgesinn, an et huet sech erausgestallt, an et géif keen Artikel ginn, wann alles genee wéi geplangt wier. Also hunn ech d'Giblets vum Schlëssel kritt, an et gi keng Probleemer wann Dir de Schlëssel op eng aner vun der selwechter Aart kopéiere musst. Awer d'Aufgab war de Schlëssel op e mobilen Apparat ze transferéieren, dat ass wat ech gemaach hunn. Dëst ass wou de Spaass ugefaang huet - mir hunn en Telefon - iPhone SE mat etabléiert iOS 13.4.5 Beta bauen 17F5044d an e puer Benotzerdefinéiert Komponente fir gratis Operatioun vun NFC - Ech wäert net op dëst am Detail ophalen wéinst e puer objektiv Grënn. Wann Dir wëllt, gëllt alles hei ënnen och fir den Android System, awer mat e puer Vereinfachungen.
Lëscht vun Aufgaben ze léisen:
- Zougang zum Inhalt vum Schlëssel.
- Implementéiert d'Fäegkeet fir e Schlëssel vum Apparat ze emuléieren.
Wann mat der éischter alles relativ einfach war, dann mat der zweeter goufen et Problemer. Déi éischt Versioun vum Emulator huet net geschafft. De Problem gouf zimlech séier entdeckt - op mobilen Apparater (entweder iOS oder Android) am Emulatiounsmodus ass d'UID dynamesch an, egal wéi wat an d'Bild verbonnen ass, et schwëmmt. Déi zweet Versioun (mat Superuser Rechter lafen) steif fix d'Seriennummer op der gewielter - d'Dier opgemaach. Wéi och ëmmer, ech wollt alles perfekt maachen, an hunn um Enn eng komplett Versioun vum Emulator zesummegesat, deen Mifare Dumps opmaache konnt an se emuléieren. Gitt op e plötzlechen Impuls, hunn ech d'Sektorschlësselen op arbiträr geännert a probéiert d'Dier opzemaachen. An hatt ... OPEN! No enger Zäit hunn ech gemierkt datt se opmaachen all Dieren mat dësem Schloss, och déi, op déi den urspréngleche Schlëssel net gepasst huet. An dëser Hisiicht hunn ech eng nei Lëscht vun Aufgaben erstallt fir ze kompletéieren:
- Fannt eraus wéi eng Zort Controller verantwortlech ass fir mat Schlësselen ze schaffen
- Verstinn ob et eng Netzwierkverbindung an eng gemeinsam Basis gëtt
- Fannt eraus firwat e praktesch onliesbare Schlëssel universell gëtt
Nodeems ech mat engem Ingenieur an der Gestiounsfirma geschwat hunn, hunn ech geléiert datt einfach Iron Logic z5r Controller benotzt ginn ouni mat engem externen Netzwierk ze verbannen.
CP-Z2 MF Lieser an IronLogic z5r Controller
Ech krut e Set vun Ausrüstung fir d'Experimenter:
Wéi vun hei kloer ass, ass de System komplett autonom an extrem primitiv. Am Ufank hunn ech geduecht datt de Controller am Léiermodus war - d'Bedeitung ass datt et de Schlëssel liest, en an der Erënnerung späichert an d'Dier opmaacht - dëse Modus gëtt benotzt wann et néideg ass all d'Schlësselen opzehuelen, zum Beispill beim Ersatz vun der Spär an engem Appartement Gebai. Awer dës Theorie gouf net bestätegt - dëse Modus ass an der Software ausgeschalt, de Jumper ass an der Aarbechtspositioun - an awer, wa mir den Apparat erop bréngen, gesi mir déi folgend:
Screenshot vum Emulatiounsprozess um Apparat
... an de Controller signaliséiert datt den Zougang zougelooss gouf.
Dëst bedeit datt de Problem an der Software vum Controller oder vum Lieser läit. Loosst eis de Lieser iwwerpréiwen - et funktionnéiert am iButton Modus, also loosst eis de Bolid Sécherheetsplat verbannen - mir kënnen d'Ausgabdaten vum Lieser gesinn.
De Verwaltungsrot gëtt spéider iwwer RS232 verbonne ginn
Mat der Method vu Multiple Tester, fanne mir eraus datt de Lieser deeselwechte Code mat am Fall vun Autorisatiounsfehler verschéckt: 1219191919
D'Situatioun fänkt un méi kloer ze ginn, awer am Moment ass et mir net kloer firwat de Controller positiv op dëse Code reagéiert. Et gëtt eng Virgab datt wann d'Datebank gefëllt gouf - zoufälleg oder virsiichteg eng Kaart mat anere Secteurschlësselen presentéiert gouf - de Lieser dëse Code geschéckt an de Controller huet et gespäichert. Leider hunn ech kee propriétaire Programméierer vun IronLogic fir an d'Controller-Schlësseldatabase ze kucken, awer ech hoffen ech konnt op d'Tatsaach opmierksam maachen datt de Problem existéiert. Eng Videodemonstratioun fir mat dëser Schwachstelle ze schaffen ass verfügbar .
PS Déi zoufälleg Additiounstheorie ass dogéint vun der Tatsaach, datt ech an engem Geschäftszentrum zu Krasnoyarsk och et fäerdeg bruecht hunn d'Dier mat der selwechter Method opzemaachen.
Source: will.com