Добар дан свима. Почећу од позадине о томе шта ме је подстакло да спроведем ово истраживање, али прво ћу вас упозорити: све практичне радње су спроведене уз сагласност владајућих структура. Сваки покушај коришћења овог материјала за улазак у забрањено подручје без права да се тамо налази је кривично дело.
Све је почело када сам, док сам чистио сто, случајно ставио РФИД улазни кључ на АЦР122 НФЦ читач - замислите моје изненађење када је Виндовс пустио звук откривања новог уређаја и ЛЕД диода је постала зелена. До овог тренутка сам веровао да ови тастери раде искључиво у стандарду Прокимити.
Али пошто га је читалац видео, то значи да кључ испуњава један од протокола на врху ИСО 14443 стандарда (познатог као Неар Фиелд Цоммуницатион, 13,56 МХз). Чишћење је одмах заборављено, пошто сам видео прилику да се потпуно ослободим комплета кључева и задржим кључ од улаза у свом телефону (стан је већ дуго опремљен електронском бравом). Почевши да проучавам, открио сам да се испод пластике крије Мифаре 1к НФЦ ознака - исти модел као у беџевима предузећа, транспортним картицама итд. Покушаји да се уђе у садржај сектора испрва нису донели успех, а када је кључ коначно разбијен, испоставило се да је коришћен само 3. сектор, а у њему је дуплиран УИД самог чипа. Изгледало је сувише једноставно, а показало се да је тако, и не би било чланка да је све ишло тачно како је планирано. Тако да сам добио утробу кључа, и нема проблема ако треба да копирате кључ на други исте врсте. Али задатак је био да пребацим кључ на мобилни уређај, што сам и урадио. Овде је забава почела - имамо телефон - иПад ЈИ са инсталираним иОС 13.4.5 Бета верзија 17Ф5044д и неке прилагођене компоненте за слободан рад НФЦ-а - нећу се задржавати на овоме детаљно из неких објективних разлога. По жељи, све што је наведено у наставку важи и за Андроид систем, али уз нека поједностављења.
Списак задатака за решавање:
- Приступите садржају кључа.
- Имплементирајте могућност емулације кључа помоћу уређаја.
Ако је са првим све било релативно једноставно, онда је са другим било проблема. Прва верзија емулатора није радила. Проблем је откривен прилично брзо - на мобилним уређајима (било иОС или Андроид) у режиму емулације, УИД је динамичан и, без обзира на то шта је уграђено у слику, лебди. Друга верзија (покренута са правима суперкорисника) чврсто је фиксирала серијски број на изабраном - врата су се отворила. Међутим, желео сам да све урадим савршено и на крају сам саставио комплетну верзију емулатора који би могао да отвори Мифаре депоније и да их опонаша. Препустивши се изненадном импулсу, променио сам секторске кључеве у произвољне и покушао да отворим врата. И она… ОТВОРЕН! После неког времена сам схватио да се отварају било који врата са овом бравом, чак и она на која оригинални кључ није пристајао. С тим у вези, направио сам нову листу задатака за завршетак:
- Сазнајте какав је контролер одговоран за рад са кључевима
- Разумети да ли постоји мрежна веза и заједничка база
- Сазнајте зашто практично нечитљив кључ постаје универзалан
Након разговора са инжењером у компанији за управљање, сазнао сам да се једноставни Ирон Логиц з5р контролери користе без повезивања на спољну мрежу.
ЦП-З2 МФ читач и ИронЛогиц з5р контролер
Добио сам комплет опреме за експерименте:
Као што је јасно одавде, систем је потпуно аутономан и крајње примитиван. У почетку сам мислио да је контролер у режиму учења - значи да чита кључ, чува га у меморији и отвара врата - овај режим се користи када је потребно снимити све кључеве, на пример, приликом замене брава у стамбеној згради. Али ова теорија није потврђена – овај режим је софтверски искључен, краткоспојник је у радном положају – а ипак, када подигнемо уређај, видимо следеће:
Снимак екрана процеса емулације на уређају
... и контролер сигнализира да је приступ одобрен.
То значи да проблем лежи у софтверу контролера или читача. Хајде да проверимо читач – ради у иБуттон режиму, па да повежемо сигурносну плочу Болид – моћи ћемо да видимо излазне податке са читача.
Плоча ће касније бити повезана преко РС232
Користећи метод вишеструких тестова, сазнајемо да читач емитује исти код у случају неуспеха ауторизације: 1219191919
Ситуација почиње да постаје јаснија, али тренутно ми није јасно зашто контролор позитивно реагује на овај код. Постоји претпоставка да је приликом попуњавања базе података – случајно или намерно представљена картица са другим секторским кључевима – читач послао овај код, а контролор га је сачувао. Нажалост, немам власничког програмера из ИронЛогиц-а који би прегледао базу података кључева контролера, али се надам да сам успео да скренем пажњу на чињеницу да проблем постоји. Доступна је видео демонстрација рада са овом рањивошћу .
ПС Теорији случајног сабирања супротставља се чињеница да сам у једном пословном центру у Краснојарску такође успео да отворим врата истим методом.
Извор: ввв.хабр.цом