時隔多年,校園卡仍存在安全隱患。
http://t.xiaomiquan.com/imey7u3
加入我的小秘圈 尊享更多乾貨!
現狀分析
校園一卡通在全國各高校被廣泛使用,一卡通系統涉及到校園生活的諸多方面,故此一卡通系統是一個對穩定性要求極高的系統。
時隔多年,部分高校仍然在使用 MIFARE 1 卡,MIFARE 1 是非接觸邏輯加密卡,密鑰是一個預先設定的固定密碼,存儲在卡片扇區內的,很容易複製。
MIFARE 介紹
- 1994年,MIFARE Classic 1K,非接觸式讀取技術開發成功。
- 2008年,在荷蘭的奈梅亨大學數字安全研究群里發表了利用反向工程複製並且修改採用 MIFARE Classic 技術的電子票證OV卡上的餘額。
- 2009年,工業和信息部發布了《關於做好應對部分IC卡出現嚴重安全漏洞工作的通知》,要求各地各機關和部門開展對IC卡使用情況的調查及應對工作。
MIFARE 1 卡片上面有一組唯一識別碼、通信介面(包含天線及數據機)以及一個ASIC裡面包含了通信邏輯電路、加密控制邏輯電路與數據存儲區( EEPROM)。
- 數據存儲區塊:可分16個區塊(sector 0-15), 每個區塊由4個區塊(block 0-3)組成,而每個區塊都是獨立的單元,每1個區塊的容量有16Byte。而每個區塊的最後一個區塊則用來存放2組密鑰(KeyA、KeyB),以及密鑰對應各自的訪問許可權(Access bit)。
- 每張卡片第一區塊的第一區塊(sector 0,block 0)只能讀取無法寫入數據,稱為製造商代碼(Manufacturer Code), 第1-4byte為UID。第5byte為比特計數檢查碼(bit count check),其餘的存放卡片製造商的數據。所以每張卡片實際能使用的只有15個區塊,即便如此也可用於15個不同的應用。
引用來源:
- MIFARE - 維基百科,自由的百科全書
- 工信部發布警示通知:IC卡國外遭破解
- 七大角度剖析高校一卡通安全 — CERNET
漏洞利用
本著實驗的原則,對國內某高校的校園一卡通(IC 卡)進行破解測試。
僅供研究測試,勿用於非法用途,後果自負。
讀取卡片
proxmark3> hf search
UID : 74 2f a0 7e
ATQA : 00 04 TYPE : NXP MIFARE CLASSIC 1k | Plus 2k SL1 proprietary non iso14443-4 card found, RATS not supported
Answers to chinese magic backdoor commands: NO
Valid ISO14443A Tag Found - Quiting Search
枚舉密鑰
執行 Nested authentication 攻擊,再通過 Darkside 方式暴力破解。
最終得出結果並導出 Dump 內容。其過程可參考其他文章,這裡不作贅述。
分析結果
至此,這張 IC 卡中的數據都已經讀取出來了。(截圖中已混淆敏感數據)
複製卡片
既然已經得到了該卡片的所有數據,那麼想要複製一張相同的卡片也就很簡單了。
proxmark3> hf mf eload 742FA07E
proxmark3> hf mf sim
uid:N/A, numreads:0, flags:0 (0x00) 將之前導出的數據重新寫入一張空白的 IC 卡後,此時兩張卡片中的數據完全一致,使用功能上基本沒有區別。
寫在文末
Mifare Classic 的 IC 卡存在如此嚴重的安全漏洞,若是這種方法被不法利用,就可以很低的經濟成本對採用該晶元的各類一卡通、門禁卡進行非法充值或複製,帶來很大的社會安全隱患。那麼我們只能希望各單位部門儘快更新採用更安全的 CPU 卡系統。
推薦閱讀:
※2018網路安全行業全景圖,幾維安全名列前茅
※150萬元重獎!阿里軟體供應鏈安全大賽正式啟動
※復盤2017,中國網路安全的難題與破題
※2017年度安全報告 — 平台漏洞
※網路安全 | 不如做個腳本小子?