我们生活中存在着大量的NFC设备，交通卡、门禁卡、饭卡、身份证等等其实都属于RFID的范畴。今天，我们来聊聊，我们生活中随处可见的卡片，哪些是安全的，哪些又属于存在安全隐患的。

RFID，射频识别是Radio Frequency Identification的缩写，其原理为阅读器与标签之间进行非接触式的数据通信，达到识别目标的目的。RFID 的应用非常广泛，典型应用有动物晶片、汽车晶片防盗器、门禁管制、停车场管制、生产线自动化、物料管理。

NFC，近场通信，是属于RFID的一种，NFC的通信距离非常近，通常在10cm内，使用的是13.56MHz频段。

工作原理

标签进入磁场后,如果接收到阅读器发出的特殊射频信号,就能凭借感应电流所获得的能量发送出存储在芯片中的产品信息(即Passive Tag,无源标签或被动标签),或者主动发送某一频率的信号(即Active Tag,有源标签或主动标签),阅读器读取信息并解码后,送至中央信息系统进行有关数据处理

使用工具

1.PM3读卡器

2.NXP的NFC TagInfo和TagWriter

几种NFC卡

首先，我们来介绍几种常见的nfc卡。

IC卡 IC卡 (Integrated Circuit Card，集成电路卡)，也称智能卡(Smart card)、智慧卡(Intelligent card)、微电路卡(Microcircuit card)或微芯片卡等。是带有智能芯片的卡的统称。具有加密功能

ID卡 ID卡全称为身份识别卡（Identification Card），是一种不可写入的感应卡，含固定的编号，主要有台湾SYRIS的EM格式、美国HIDMOTOROLA等各类ID卡。ID卡与磁卡一样，都仅仅使用了“卡的号码”而已，卡内除了卡号外，无任何保密功能，其“卡号”是公开、裸露的。所以说ID卡就是“感应式磁卡”。之前看到有自称可加密的ID卡。实际上是自己修改了频段。然后只能由特有的设备进行读取而已，其实并不算真正的加密。

ID卡

我们上面已经介绍了，ID卡是仅存储卡号信息，且所有内容都是公开的。目前有一部分门禁卡使用的就是ID卡，没法擦写。笔者有看到号称可加密的ID卡，仔细看说明后其实就是使用了特殊的频段，导致正常的读卡器无法读取其内容，本质上并不能说是加密。所以，我们在这里就不再讨论ID卡，因为ID卡并没有安全性研究的必要。

IC卡

IC卡其实也是分成好几个种类的，上文讲的M0和M1卡其实都属于IC卡，其他还有一些非常规的卡，如

• M1卡 其实也是IC卡的一种，M1芯片，是指飞利浦下属子公司恩智浦出品的芯片缩写，全称为NXP Mifare1系列，常用的有S50及S70两种型号。常见的有卡式和钥匙扣式。
• UID卡 UID卡又称中国魔术卡，可以修改UID达到复制M1卡的效果，非常容易被检测到，现在已经不大好用了
• CUID卡 与UID卡一样，可以修改UID，并达到复制的效果。目前可以绕过大概80%的检测
• FUID卡 只能修改一次UID，修改后锁死成为M1卡。基本上可以绕过绝大多数检测
• UFUID卡 可以修改UID，修改后可以锁死成为M1卡，基本上可以绕过绝大多数检测
• M0卡 其实也是IC卡的一种，Ultralight、Ultralight C属于NXP的MF0系列，是NXP公司生产的一种通用型RF票证辩识标签卡芯片。该系列标签存储结构简单，以页(Page)为单位，每页4bytes。不同卡片所含页数不同，从16页到48页不等。另外每张卡片都一个全球唯一的7bytes序列号，此序列号即是卡片的UID。目前笔者看到M0卡的使用场景包括了各类智能家居的碰碰贴等。用于一碰实现指令下发。

IC卡的内容

IC卡共分16个扇区，每个区分4块，每块16个字节，其中0扇区0块的前4个字节为uid号，此号具有唯一性，第5个字节为卡号校验位，后面11个字节为厂商信息。

每个扇区的最后一块，前6个字节为密钥A，7-9字节为控制位，10字节备用，后6个字节为密钥B。只有当密钥正确时，才能够修改对应扇区的数据。

网络上关于此的信息很多，具体的就在这里不再赘述

安全性分析

• 梯控卡

下面是笔者的梯控门禁卡，限制了刷卡楼层和梯号，尝试对其进行破解

卡片的uid为d3808524 0扇区的密钥A是FFFFFFFFFFFF 0扇区的密钥B是FFFFFFFFFFFF 1扇区的密钥A是A754DE67A103（由读卡器破解出） 1扇区的密钥B是A0A1A2A3A4A5

试探出楼层校验是在1扇区1块的前两个字节做的，比如我的电梯只能刷3楼，对应数据为0008，转化为2进制为00001000，这里怀疑进一位，楼层号就加1，于是测试时将数据改写成0010，即00010000，刷卡后，成功点亮了4楼的楼层号。

推测当所有的值都为1时，就可以刷所有的楼层，既然如此，那我们暴力点，改成FFFF，测试后，就成功破解了梯控的限制

这是梯控卡出厂的密钥过弱导致的，导致读卡器内的字典涵盖了出厂密钥。读出卡的内容后，合理分析卡的内容，即可完成对卡内数据的篡改。

同时，由于梯控的性质决定了他是不联网的，也不会对卡片的uid进行限制。导致的结果就是卡片可以无限复制和篡改。

• 智能门锁IC卡

尝试了我自己家的智能门锁的IC卡，结果以失败告终，卡的内容应该被全加密无法被读出且进行了加密。

门锁中一般也会加入动态滚码，防止对卡的复制，智能门锁对于复制卡也会有校验机制。

• 饭卡

由于笔者脱离学生时代已久，没有饭卡可以让我来测试，在看雪上看了一篇破解饭卡的文章。作者分析的还是很有参考意义的。但不建议尝试。因为涉及到金额的卡内数据都是联网的，擅自修改会吃牢饭。其余交通卡、带金额的卡差不多都是这个原理。

看雪链接：https://bbs.pediy.com/thread-259757.htm

• 贴片M0卡

M0卡在市面上并不常见，笔者在玩智能家居碰碰贴的时候接触到过，M0卡是简化版的M1卡，区别就在于容量更小，功能更简单，价格更便宜。

查阅文档后发现该nfc使用 ntag216 芯片,可读写字节数为 888 字节，头部 ntag uid 值固定 7 字节，可以设置四字 节的 passwd 对 nfc 可读写内容进行保护。

以下4字节为密码位，FFFFFFFF代表无密码。4字节的密码长度注定了该卡不可能拥有较高的安全属性

使用 taginfo app 对该卡碰碰贴进行 tag 内容读取,在未写入内容时,白卡头如下，意思就是，通过RECORD4部分中的weblink唤醒手机中的app，再执行RECORD1中的指令。

按照官方文档，往卡中写入控制设备的指令。上文提到由于卡没有设置密码，而且基本上是明文的，我们可以对卡的密码进行修改或者复制。

由于官方卡价格有点高,笔者使用了自己购买的ntag216芯片卡（不到一块钱一张），可以完美达到复制和替换的效果。

M0卡不安全的因素：

• 密码校验过短防篡改的效果聊胜于无；
• 可复制性导致可以大量复制该卡片。

总结

现在市面上的NFC设备基于不同的使用场景安全性各不相同。

弱的如同梯控、智能贴等，基本上对攻击没有抵抗能力；

强的如同门锁IC卡，进行了全加密以及滚码防复制，基本上可以做到安全；

还有一些类似学生饭卡等设备，虽然并没有进行太多的安全控制，但数据进行了联网，若数据不匹配就会被第一时间发现（修改此类数据是违法的，请遵守法律法规）。

文章来源：CADN-涂鸦安全应急响应中心