常见智能卡的安全性分析

我们生活中存在着大量的NFC设备,交通卡、门禁卡、饭卡、身份证等等其实都属于RFID的范畴。今天,我们来聊聊,我们生活中随处可见的卡片,哪些是安

我们生活中存在着大量的NFC设备,交通卡、门禁卡、饭卡、身份证等等其实都属于RFID的范畴。今天,我们来聊聊,我们生活中随处可见的卡片,哪些是安全的,哪些又属于存在安全隐患的。

RFID,射频识别是Radio Frequency Identification的缩写,其原理为阅读器与标签之间进行非接触式的数据通信,达到识别目标的目的。RFID 的应用非常广泛,典型应用有动物晶片、汽车晶片防盗器、门禁管制、停车场管制、生产线自动化、物料管理。

NFC,近场通信,是属于RFID的一种,NFC的通信距离非常近,通常在10cm内,使用的是13.56MHz频段。

常见智能卡的安全性分析

工作原理

标签进入磁场后,如果接收到阅读器发出的特殊射频信号,就能凭借感应电流所获得的能量发送出存储在芯片中的产品信息(即Passive Tag,无源标签或被动标签),或者主动发送某一频率的信号(即Active Tag,有源标签或主动标签),阅读器读取信息并解码后,送至中央信息系统进行有关数据处理

使用工具

1.PM3读卡器

2.NXP的NFC TagInfo和TagWriter

几种NFC卡

首先,我们来介绍几种常见的nfc卡。

IC卡 IC卡 (Integrated Circuit Card,集成电路卡),也称智能卡(Smart card)、智慧卡(Intelligent card)、微电路卡(Microcircuit card)或微芯片卡等。是带有智能芯片的卡的统称。具有加密功能

ID卡 ID卡全称为身份识别卡(Identification Card),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式、美国HIDMOTOROLA等各类ID卡。ID卡与磁卡一样,都仅仅使用了“卡的号码”而已,卡内除了卡号外,无任何保密功能,其“卡号”是公开、裸露的。所以说ID卡就是“感应式磁卡”。之前看到有自称可加密的ID卡。实际上是自己修改了频段。然后只能由特有的设备进行读取而已,其实并不算真正的加密。

ID卡

我们上面已经介绍了,ID卡是仅存储卡号信息,且所有内容都是公开的。目前有一部分门禁卡使用的就是ID卡,没法擦写。笔者有看到号称可加密的ID卡,仔细看说明后其实就是使用了特殊的频段,导致正常的读卡器无法读取其内容,本质上并不能说是加密。所以,我们在这里就不再讨论ID卡,因为ID卡并没有安全性研究的必要。

IC卡

IC卡其实也是分成好几个种类的,上文讲的M0和M1卡其实都属于IC卡,其他还有一些非常规的卡,如

  • M1卡 其实也是IC卡的一种,M1芯片,是指飞利浦下属子公司恩智浦出品的芯片缩写,全称为NXP Mifare1系列,常用的有S50及S70两种型号。常见的有卡式和钥匙扣式。
  • UID卡 UID卡又称中国魔术卡,可以修改UID达到复制M1卡的效果,非常容易被检测到,现在已经不大好用了
  • CUID卡 与UID卡一样,可以修改UID,并达到复制的效果。目前可以绕过大概80%的检测
  • FUID卡 只能修改一次UID,修改后锁死成为M1卡。基本上可以绕过绝大多数检测
  • UFUID卡 可以修改UID,修改后可以锁死成为M1卡,基本上可以绕过绝大多数检测
  • M0卡 其实也是IC卡的一种,Ultralight、Ultralight C属于NXP的MF0系列,是NXP公司生产的一种通用型RF票证辩识标签卡芯片。该系列标签存储结构简单,以页(Page)为单位,每页4bytes。不同卡片所含页数不同,从16页到48页不等。另外每张卡片都一个全球唯一的7bytes序列号,此序列号即是卡片的UID。目前笔者看到M0卡的使用场景包括了各类智能家居的碰碰贴等。用于一碰实现指令下发。

IC卡的内容

IC卡共分16个扇区,每个区分4块,每块16个字节,其中0扇区0块的前4个字节为uid号,此号具有唯一性,第5个字节为卡号校验位,后面11个字节为厂商信息。

每个扇区的最后一块,前6个字节为密钥A,7-9字节为控制位,10字节备用,后6个字节为密钥B。只有当密钥正确时,才能够修改对应扇区的数据。

网络上关于此的信息很多,具体的就在这里不再赘述

安全性分析

  • 梯控卡

下面是笔者的梯控门禁卡,限制了刷卡楼层和梯号,尝试对其进行破解

常见智能卡的安全性分析

卡片的uid为d3808524 0扇区的密钥A是FFFFFFFFFFFF 0扇区的密钥B是FFFFFFFFFFFF 1扇区的密钥A是A754DE67A103(由读卡器破解出) 1扇区的密钥B是A0A1A2A3A4A5

试探出楼层校验是在1扇区1块的前两个字节做的,比如我的电梯只能刷3楼,对应数据为0008,转化为2进制为00001000,这里怀疑进一位,楼层号就加1,于是测试时将数据改写成0010,即00010000,刷卡后,成功点亮了4楼的楼层号。

推测当所有的值都为1时,就可以刷所有的楼层,既然如此,那我们暴力点,改成FFFF,测试后,就成功破解了梯控的限制

常见智能卡的安全性分析

常见智能卡的安全性分析

这是梯控卡出厂的密钥过弱导致的,导致读卡器内的字典涵盖了出厂密钥。读出卡的内容后,合理分析卡的内容,即可完成对卡内数据的篡改。

同时,由于梯控的性质决定了他是不联网的,也不会对卡片的uid进行限制。导致的结果就是卡片可以无限复制和篡改。

  • 智能门锁IC卡

尝试了我自己家的智能门锁的IC卡,结果以失败告终,卡的内容应该被全加密无法被读出且进行了加密。

门锁中一般也会加入动态滚码,防止对卡的复制,智能门锁对于复制卡也会有校验机制。

常见智能卡的安全性分析

常见智能卡的安全性分析

  • 饭卡

由于笔者脱离学生时代已久,没有饭卡可以让我来测试,在看雪上看了一篇破解饭卡的文章。作者分析的还是很有参考意义的。但不建议尝试。因为涉及到金额的卡内数据都是联网的,擅自修改会吃牢饭。其余交通卡、带金额的卡差不多都是这个原理。

看雪链接:https://bbs.pediy.com/thread-259757.htm

  • 贴片M0卡

M0卡在市面上并不常见,笔者在玩智能家居碰碰贴的时候接触到过,M0卡是简化版的M1卡,区别就在于容量更小,功能更简单,价格更便宜。

查阅文档后发现该nfc使用 ntag216 芯片,可读写字节数为 888 字节,头部 ntag uid 值固定 7 字节,可以设置四字 节的 passwd 对 nfc 可读写内容进行保护。

以下4字节为密码位,FFFFFFFF代表无密码。4字节的密码长度注定了该卡不可能拥有较高的安全属性

常见智能卡的安全性分析

使用 taginfo app 对该卡碰碰贴进行 tag 内容读取,在未写入内容时,白卡头如下,意思就是,通过RECORD4部分中的weblink唤醒手机中的app,再执行RECORD1中的指令。

常见智能卡的安全性分析

按照官方文档,往卡中写入控制设备的指令。上文提到由于卡没有设置密码,而且基本上是明文的,我们可以对卡的密码进行修改或者复制。

由于官方卡价格有点高,笔者使用了自己购买的ntag216芯片卡(不到一块钱一张),可以完美达到复制和替换的效果。

常见智能卡的安全性分析

常见智能卡的安全性分析

M0卡不安全的因素:

  • 密码校验过短防篡改的效果聊胜于无;
  • 可复制性导致可以大量复制该卡片。

总结

现在市面上的NFC设备基于不同的使用场景安全性各不相同。

弱的如同梯控、智能贴等,基本上对攻击没有抵抗能力;

强的如同门锁IC卡,进行了全加密以及滚码防复制,基本上可以做到安全;

还有一些类似学生饭卡等设备,虽然并没有进行太多的安全控制,但数据进行了联网,若数据不匹配就会被第一时间发现(修改此类数据是违法的,请遵守法律法规)。

文章来源:CADN-涂鸦安全应急响应中心

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/76492.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信