RFID消费终端设备安全风险之某高卡破解剖析

2012-09-18 206983人围观 ,发现 15 个不明物体 极客终端安全

之前我们发布了一篇名为“从现实中的案例关注RFID消费终端设备安全风险”的文章,当中提到了关于SAM所带来的一些真实案例。现在我们就接着说一下关于国内RFID黑产的一些案例,从而让大家更加清楚明白SAM的安全的重要性。

在接触RFID安全的时候,认识了一位在国内搞RFID黑产的朋友,从他手中我获得了一份所谓的“*高卡远程破解方法”的文档。所以基于文档的内容我写了这一篇破解过程的剖析。

以下为“**卡远程破解方法”原文以及过程剖析:

1、首先通过RSA软件换算出UID的10位数值

LRC校验算法(纵向冗余校验 Longitudinal Redundancy Check)

被称作纵向xx效验(LRC)的XOR效验和可以既简单又快速地算出来。

把一个数据块的所有数据字节递归经XOR选通后即可产生XOR效验和。字节1用字节2经XOR门选通,结果在用字节3经XOR门选通,如此等等。如果在数据传输时把纵向xx码效验值LRC附在数据块后面一起传输,那么在接收器中对数据块加LCR字节产生LCR后就可以对传输错误进行简单的校核。其结果总应为零,任何其他结果都表示出现了传输错误。然后LCR并不是很可靠,多个错误能相互抵消,在一个数据块内字节顺序的互换根本识别不出来。LCR主要用于快速效验很小的数据块。

 

当客户提交UID给破解者之后,破解者就会根据UID利用LRC效验算法算出第九和第十位的数值,从而利用十位的UID复制出一张白卡。因为是远程破解,没有实体卡的情况下无法继续下面的操作,所以破解者需要关键部分从而复制出一张相同UID的卡。

(个人认为第一步的操作是多此一举的,只要利用nfc-list读取整个0区的数值給予破解者就简单不过了!)

 

2、利用ACS龙杰智能卡公司所发布的UID白卡复制软件复制出一张有该UID的白卡

顾名思义“远程”就是黑产的一种常用手法,利用远程USB共享或者得知UID卡号进行相关的破解,而保证自身技术不会因此而泄露。当复制完白卡之后,破解者就可以本地进行随意的操作,而不需要经过客户的PC或者卡。

3、利用Proxmark3监听该复制卡与ACR122U-SAM读卡器之间的交互信息(关于SAM与PSAM请点击访问

这里就是一个关键点,实际上从第二步开始,大家就应该对于指定型号产生了疑问,为什么非要是ACR122U-SAM?而ACR122U一样也可以操作UID白卡复制的软件和功能。实际上ACR122U-SAM的重点就是在于后面的SAM!因为破解利用了*高的PSAM卡,插入到了ACR122U-SAM的卡槽当中,使得该读卡器设备有了“消费”的功能。正正好完成了我们所需要的监听流程的必要条件 – “在正常交互模式下进行监听”,这就是为什么需要利用ACR122U-SAM的重要原因。

 ACR122U-SAM

香港龙杰出品的一款带有SAM卡槽的读卡器,该读卡器与ACR122U属于同一个系列,只是有SAM和没有SAM卡槽的区别。因此被而淘宝奸商高价炒卖。

4、利用Cypto-1算法软件换算出复制卡的Key

因为MIFARE Classic被破解之后,其算法的浮现导致了我们可以很容易换算出监听的数据,利用Cypto-1算法软件换算成为了自动化。

5、利用mfocGUI、Proxmark3破解该卡剩余的Key

得出首个Key之后,破解者只需要利用Proxmark3的Nested验证攻击去破解全卡的KeyA/KeyB,该卡就此沦为黑产利用来赚钱的工具了。

整个案例就分析到此,从案例当中最重要的依然是SAM,破解者利用社会工程学(内部人员作案协作)偷取了SAM卡,然后利用SAM卡进行破解针对性的破解,因为该SAM卡为*高读卡器所用的PSAM,所以破解也完完全全是一种针对*高的破解手法。据闻该技术被利用之后,相关的厂商也立刻提升了相关的安全措施,从原来的SAM卡设计而改变成了以嵌入式SAM为主的设计,也因此演变成了RFID黑产攻击的新手法的存在。

作为厂商或者使用者,我们不仅仅要关注Tag的安全,还要关注整体业务架构的安全以及内部人员的管理,采用行之有效的方法去保障自身的利益。对于财产以及设备管理要做好,尽量避免因内部人员盗窃作案而遭受经济上的损失。

下一次我们将会介绍基于ESAM卡的安全漏洞的攻击手法 – 香港卡3的ESAM的沦陷

这些评论亮了

  • rfid (1级) 回复
    radiowar 辛苦了!
    第一步UID的计算确实不是必须的,不过可以用来印证!
    )7( 亮了
发表评论

已有 15 条评论

取消
Loading...
css.php