Laba diena visiem. SÄkÅ”u ar priekÅ”vÄsturi par to, kas mani pamudinÄja veikt Å”o pÄtÄ«jumu, bet vispirms brÄ«dinu: visas praktiskÄs darbÄ«bas tika veiktas ar vadoÅ”o struktÅ«ru piekriÅ”anu. JebkurÅ” mÄÄ£inÄjums izmantot Å”o materiÄlu, lai iekļūtu ierobežotÄ teritorijÄ bez tiesÄ«bÄm tur atrasties, ir noziedzÄ«gs nodarÄ«jums.
Viss sÄkÄs ar to, ka, tÄ«rot galdu, nejauÅ”i uzliku RFID ieejas atslÄgu uz ACR122 NFC lasÄ«tÄja ā iedomÄjieties manu pÄrsteigumu, kad Windows atskaÅoja jaunas ierÄ«ces noteikÅ”anas skaÅu un LED iedegÄs zaÄ¼Ä krÄsÄ. LÄ«dz Å”im brÄ«dim es uzskatÄ«ju, ka Ŕīs atslÄgas darbojas tikai Proximity standartÄ.
Bet, tÄ kÄ lasÄ«tÄjs to redzÄja, tas nozÄ«mÄ, ka atslÄga atbilst vienam no protokoliem papildus ISO 14443 standartam (pazÄ«stams arÄ« kÄ tuva lauka komunikÄcija, 13,56 MHz). TÄ«rÄ«Å”ana uzreiz aizmirsÄs, jo ieraudzÄ«ju iespÄju pilnÄ«bÄ atbrÄ«voties no atslÄgu komplekta un ieejas atslÄgu paturÄt telefonÄ (dzÄ«voklis jau sen ir aprÄ«kots ar elektronisko slÄdzeni). UzsÄkot studijas, uzzinÄju, ka zem plastmasas ir paslÄpts Mifare 1k NFC tags - tÄds pats modelis kÄ uzÅÄmumu nozÄ«mÄ«tÄs, transporta kartÄs utt. MÄÄ£inÄjumi iekļūt sektoru saturÄ sÄkumÄ nenesa panÄkumus, un, beidzot uzlaužot atslÄgu, izrÄdÄ«jÄs, ka izmantots tikai 3. sektors, un tajÄ dublÄts paÅ”as mikroshÄmas UID. IzskatÄ«jÄs pÄrÄk vienkÄrÅ”i, un tÄ arÄ« izrÄdÄ«jÄs, un nebÅ«tu neviena raksta, ja viss notiktu tieÅ”i tÄ, kÄ plÄnots. TÄpÄc es saÅÄmu atslÄgas daļiÅas, un nav problÄmu, ja jums ir jÄpÄrkopÄ atslÄga uz citu tÄdu paÅ”u. Bet uzdevums bija pÄrsÅ«tÄ«t atslÄgu uz mobilo ierÄ«ci, ko arÄ« izdarÄ«ju. Å eit sÄkÄs jautrÄ«ba - mums ir tÄlrunis - iPhone SE ar uzstÄdÄ«tu iOS 13.4.5 Beta build 17F5044d un daži pielÄgoti komponenti NFC brÄ«vai darbÄ«bai - dažu objektÄ«vu iemeslu dÄļ es par to sÄ«kÄk nekavÄÅ”os. Ja vÄlaties, viss tÄlÄk teiktais attiecas arÄ« uz Android sistÄmu, taÄu ar dažiem vienkÄrÅ”ojumiem.
AtrisinÄmo uzdevumu saraksts:
- Piekļūstiet atslÄgas saturam.
- Ieviesiet ierÄ«cÄ iespÄju emulÄt atslÄgu.
Ja ar pirmo viss bija salÄ«dzinoÅ”i vienkÄrÅ”i, tad ar otro bija problÄmas. PirmÄ emulatora versija nedarbojÄs. ProblÄma tika atklÄta diezgan Ätri - mobilajÄs ierÄ«cÄs (iOS vai Android) emulÄcijas režīmÄ UID ir dinamisks un neatkarÄ«gi no tÄ, kas attÄlÄ ir iestrÄdÄts, tas peld. OtrajÄ versijÄ (palaist ar superlietotÄja tiesÄ«bÄm) izvÄlÄtajÄ stingri tika fiksÄts sÄrijas numurs - durvis atvÄrÄs. TomÄr es gribÄju visu izdarÄ«t perfekti, un galu galÄ es izveidoju pilnu emulatora versiju, kas varÄtu atvÄrt Mifare izgÄztuves un lÄ«dzinÄties tÄm. Padodoties pÄkÅ”Åam impulsam, nomainÄ«ju sektora atslÄgas pret patvaļīgÄm un mÄÄ£inÄju atvÄrt durvis. Un viÅaā¦ ATVÄRTS! PÄc kÄda laika sapratu, ka tÄs atveras jebkurÅ” durvis ar Å”o slÄdzeni, pat tÄs, kurÄm oriÄ£inÄlÄ atslÄga nederÄja. Å ajÄ sakarÄ es izveidoju jaunu veicamo uzdevumu sarakstu:
- Uzziniet, kÄda veida kontrolieris ir atbildÄ«gs par darbu ar atslÄgÄm
- Saprotiet, vai ir tÄ«kla savienojums un kopÄ«ga bÄze
- Uzziniet, kÄpÄc praktiski nelasÄma atslÄga kļūst universÄla
PÄc sarunas ar pÄrvaldÄ«bas uzÅÄmuma inženieri uzzinÄju, ka vienkÄrÅ”ie Iron Logic z5r kontrolleri tiek izmantoti bez savienojuma ar ÄrÄju tÄ«klu.
CP-Z2 MF lasÄ«tÄjs un IronLogic z5r kontrolieris
Man tika dots aprīkojuma komplekts eksperimentiem:
KÄ redzams Å”eit, sistÄma ir pilnÄ«gi autonoma un ÄrkÄrtÄ«gi primitÄ«va. SÄkumÄ domÄju, ka kontrolieris ir mÄcÄ«Å”anÄs režīmÄ - tas nozÄ«mÄ, ka tas nolasa atslÄgu, saglabÄ to atmiÅÄ un atver durvis - Å”is režīms tiek izmantots, ja nepiecieÅ”ams ierakstÄ«t visas atslÄgas, piemÄram, nomainot slÄdzene daudzdzÄ«vokļu mÄjÄ. Bet Ŕī teorija netika apstiprinÄta - Å”is režīms ir izslÄgts programmatÅ«rÄ, džemperis ir darba stÄvoklÄ« - un tomÄr, paceļot ierÄ«ci, mÄs redzam sekojoÅ”o:
EkrÄnuzÅÄmums ar emulÄcijas procesu ierÄ«cÄ
... un kontrolieris signalizÄ, ka piekļuve ir pieŔķirta.
Tas nozÄ«mÄ, ka problÄma ir vai nu kontrollera, vai lasÄ«tÄja programmatÅ«rÄ. PÄrbaudÄ«sim lasÄ«tÄju - tas darbojas iButton režīmÄ, tÄpÄc pievienosim Bolid droŔības plati - varÄsim apskatÄ«t lasÄ«tÄja izvaddatus.
Plate vÄlÄk tiks pievienota caur RS232
Izmantojot vairÄku testu metodi, mÄs noskaidrojam, ka lasÄ«tÄjs autorizÄcijas kļūmes gadÄ«jumÄ pÄrraida vienu un to paÅ”u kodu ar: 1219191919
SituÄcija sÄk kļūt skaidrÄka, bet Å”obrÄ«d man nav skaidrs, kÄpÄc kontrolieris uz Å”o kodu reaÄ£Ä pozitÄ«vi. PastÄv pieÅÄmums, ka tad, kad datubÄze tika aizpildÄ«ta - nejauÅ”i vai ar nolÅ«ku tika uzrÄdÄ«ta karte ar citÄm sektoru atslÄgÄm - lasÄ«tÄjs nosÅ«tÄ«ja Å”o kodu un kontrolieris to saglabÄja. DiemžÄl man nav patentÄta programmÄtÄja no IronLogic, kas izpÄtÄ«tu kontroliera atslÄgu datu bÄzi, taÄu es ceru, ka varÄju pievÄrst uzmanÄ«bu faktam, ka problÄma pastÄv. Ir pieejams video demonstrÄcija darbam ar Å”o ievainojamÄ«bu
PS NejauÅ”as pievienoÅ”anas teorijai pretojas fakts, ka vienÄ biznesa centrÄ KrasnojarskÄ arÄ« man izdevÄs ar tÄdu paÅ”u metodi atvÄrt durvis.
Avots: www.habr.com