Зависит от того, какую бесконтактную смарт-карту вы хотите эмулировать.
Если речь идет о HID prox, EM-Marin и им подобные(кстати, Clamshell это всего-лишь разновидность корпуса карты), работающие на частоте 125 КГц, то ничего не выйдет.
Эмулировать карты Mifare можно:
Ultralight и Classic — только при наличии поддержки чипсетом аппарата. Для Classic-а потребуются ключи.
DESFire — все несколько сложнее, но в принципе можно, если вы напишете эмулятор SAM-а, и у вас также будут все необходимые ключи.
В реальной жизни основная проблема копирования Mifare Classic и Ultralight состоит в том, что UID на этих картах прошивается на заводе, он уникален для каждой карты и не изменяем. И даже есть у вас есть белый пластик и есть все ключи(для Classic-а), то повторить его полностью вы не сможете из-за того же UID-а.
Таким образом, если ваш чипсет поддерживает работу с произвольными UID-ами, то вы можете эмулировать карты Mifare при условии, что самостоятельно напишете программный эмулятор верхнего уровня.
EMV-карты также прекрасно эмулируются, т.к. работают на той же ISO 14445 и на то есть общеизвестные приложения.
P.S. Если я правильно понял, вопрос именно об эмуляции карт, а не об их взломе. Эмуляция подразумевает, что вся необходимая информация(ключи, идентификаторы. дампы) у вас уже есть.
По поводу турникетов я больше склоняюсь к тому, что плохой монтаж. Пообщался с коллегами на работе они подтвердили что очень плохой монтаж +расстояние до антенны большое. Поэтому кольцо и не ловится. Данную версию подтверждает, то что на некоторых считывателях всетки срабатывает.По MIFARE Classic Tool, создал дамп Подорожника, при попытки записать выдает: Нет MIFARE classic тег. Записать не дает, подскажите пожалуйста, что делать? Попытался снять информацию с кольца. Вот что выдал:
в любом случае связка «моя антенна-турникет» не работает корректно, это я выяснил пытаясь приложить брелок Zero 1k — либо совсем не читалось, либо глючило.. Насчет «Нет «MIFARE classic тег» сначала попробуй на карте Zero 1k. Если на карту всё ОК, то опять-же несовместимость смартфона с чипом или антенной кольца. В этом случае можно попробовать еще связку ридер ACR122+KALI Linux+NFC Tools..
byshido84,Ты пытаешься дамп от классика записать на ультралайт . Это вообще 2 разных формата .
А бывают NFC чипы с поддержкой proximity карт (125кгц)? Чтобы можно было считать и склонировать карту типа EM-Marine?
В смартфонах бывают? Очень интересно было бы найти такие.
megasos, не встречал таких
Сообщение отредактировал AiD81 — 29.01.17, 08:50
Питерский подорожник также?7бит на 4-е не влезут правильно я понимаю?
byshido84,Не берусь утверждать, т.к. не держал в руках, но скорее всего.Да 7b и 4b это разные болванки.
народ, какой сектор используется для кошелька в Подорожнике?
Имея Гэлакси С3 и карту мифаер классик с 2 секторами зашифровыными ключем, Могу ля я сбрутить этот ключ? Есть ли софт под андройд? Или нужен acr122 и mfuck?
«JoаchimGarraud2» В нем брута нет! Нашел версию с брутом, но там он очень простой. подбор займет лет 10. 20 ключей в секунду.
Сообщение отредактировал H1ddon — 12.02.17, 14:59
ну значит mfoc и Битслайсер (Crypto_bs). Но разницы между ними не вижу. Есть спецы по ним? Есть много вопросов.
Всем привет. У меня смартфон Leeco Le 2, полностью устраивает, но единственное что не хватает функции NFC. Вопрос такой: как то можно сделать, чтобы была бесконтактная оплата?Внешний модуль, или еще что-то, я в этом не силен. Подскажите пожалуйста
Можете обратиться к своему банку, может они имеют или наклейки которую вы можете приклеить к телефону или браслеты который можно носить на руке. Или вашу (если имеете такую) карту положить под «бампер-чехол» конечно же если он (чехол) есть
Всем привет:) есть несколько вопросов :
1)Возможно ли скопировать карту Тройка, а это mifare classic 1k, на ntag-стикеры с алиэкспресс? Дамп сделал в mct tool, записывать не пробовал, так как пока не на что.
2)Если нельзя на стикер, то на что можно, кроме такого же пластика? Нужно что-то тоненькое и маленькое.
3)Тройка сама хранит даннные о балансе или является ключем от счета?
1)Возможно ли скопировать карту Тройка, а это mifare classic 1k, на ntag-стикеры с алиэкспресс? Дамп сделал в mct tool, записывать не пробовал, так как пока не на что. 2)Если нельзя на стикер, то на что можно, кроме такого же пластика? Нужно что-то тоненькое и маленькое.
антенны плохие, сначала проверь свои стикеры или брелки на читабельность в турникетах..
JoаchimGarraud2, Т.е. записать можно, но есть технический момент читабельности?
разумеется записать можно всё на аналогичный чип Zero, неважно в каком внешнем исполнении выполнено. Если ваш ридер/смартфон опять же совместим с чипом и антенной метки..
Сообщение отредактировал JoаchimGarraud2 — 15.02.17, 20:32
Тройка 7 байтовая ,не тормозите .
А если умные часы или браслет, на котором есть NFC соединяются со смартфоном на котором нет NFC, они будут оплачивать покупки бесконтактными платежами?
«Шо, опять?» или взлом транспортных карт «Ситикард» (Нижний Новгород)
Время на прочтение
Спешу предупредить читателей: Данная статья написана только для ознакомления, и ни в коем случае не призывает заниматься подделкой проездных билетов, так как это противоречит статье 327 УК РФ. Автор не несет ответственности за любые неправомерные действия совершенные людьми с использованием информации из данной статьи.
Я обычная девушка, сравнительно недавно работающая в сфере ИТ, не имею знаний в хакинге и взломе. Но вдохновленная статьями на Хабре про взлом транспортных карт «Тройка» и «Подорожник» (которые уже не доступны, авторы Ammonia и antoo), я решила рассказать про свой собственный опыт взлома транспортных карт «Ситикарт», которые действуют в Нижнем Новгороде.
Сразу скажу, я не хакер и не взломщица, а простой фронт-энд разработчик, мои знания по работе с ПК, если отбросить знания во фронт-энд разработке, можно охарактеризовать, как «опытный пользователь».
Я не разрабатывала специальные приложения, как делали это авторы упомянутых статей, а покажу, как доступными средствами можно легко взламывать транспортные карты. Методы взлома известны давно (лет 5-7 точно).
Если бы я, как разработчик, использовала старые версии фреймворков с известными уязвимостями, мне бы давно оторвал работодатель голову, но на разработчиков транспортных систем это, по-моему, не распространяется. Возможно, это связано с низкой подкованностью самих разработчиков.
Но вернусь к взлому. Итак, обо всем по порядку.
Все описанные мною действия я проводила осенью прошлого года, но, насколько мне известно, все работает и сейчас.
Итак, у меня есть недорогой смартфон с NFC. Я в свое время покупала транспортные карты «Ситикард» (так получилось, что у меня их несколько – порой забывала карту то дома, то на работе и приходилось покупать новую).
Я скачала официальное приложение производителя карт Mifare NXP Taginfo и просканировала свою транспортную карту:
Оказалось, что карта основана на чипе Mifare Plus S, но что самое важное, работает она в режиме безопасности № 1. А это значит, что по сути это простая карта Mifare Classic, которая легко взламывается.
Я скачала в Google Play замечательное приложение Mifare Classic Tool и просканировала транспортную карту стандартными ключами:
Тут меня постигло разочарование – ни один из известных ключей не подошел. Соответственно, использовать взлом способом, как было описано в статье про «Подорожник», было не возможно.
«Постойте-ка» — подумала я, «но ведь можно попробовать способ, как описано в статье про взлом «Тройки».
Действительно, у «Ситикард» тоже есть приложение из Google Play, которое позволяет проверять баланс карты, а впоследствии прикрутили возможность и пополнять карту.
Я скачала и установила это приложение. Но теперь передо мной встала дилемма: ключи к карте зашиты или в самом приложении, или «прилетают» с сервера. Декомпиллировать Android-приложения достаточно просто, но я в этом не очень хорошо разбираюсь.
Наверняка, более или менее соображающий разработчик может это достаточно легко сделать. Я такими умениями не обладала и обратилась к брату, который занимается ремонтом домофонов, думала, у него есть знакомый программист, но он предложил более элегантное и простое решение.
Он к тому времени получил плату с Кикстартера, которая позволяет подсматривать протокол между ридером и картой. Оказывается, в домофонах стали использовать брелки, внутри которых зашит все тот же чип Mifare, и эта плата ему понадобилась для каких-то дел, связанных с этими брелками (я в подробности не вдавалась).
Итак, он взял свою плату, поместил ее к моему смартфону, который выступил в роли ридера, а в роли карты выступила собственно транспортная карта, и снял лог обмена данными между ридером и картой.
Дальше встал вопрос, что делать с полученным логом. Но непродолжительный поиск в Интернете привел к утилите под название crapto1gui. Ссылки приводить не будут, достаточно легко находится и так.
Скриншот утилиты привожу ниже (взято с одного из сайтов в интернете, так что данные там не реальные, которые мы использовали).
В общем, достаточно в эту утилиту вставить нужные куски лога и 6-байтный ключ мгновенно вычисляется. Я сама удивилась, как легко это делается, самое сложное было скопировать нужные части из лога и вставить в соответствующие поля программы.
Затем я открыла все тоже приложение Mifare Classic Tool (MCT), вставила в приложение полученный ключ и на этот раз мне отобразилось содержимое 0-го и 8-го секторов.
В нулевом секторе в основном были одни нули, а вот в восьмом были какие-то данные, из чего я сделала вывод, что данные по транспортной карте хранятся в 8-м секторе (как и в карте «Тройке» — неужели один и тот же разработчик?), а полученный ключ оказался ключом B (у сектора два ключа A и B).
Дальше, ради интереса, я с помощью опенсорсной утилиты libnfc и ридера бесконтактных карт получила и все остальные ключи от карты (подробнее об этом было написано в статье про «Подорожник» — я тоже использовала этот способ. Он также описан на сайте libnfc).
С помощью полученных ключей я попробовала прочитать содержимой другой транспортной карты. Оказалось, что ключ A совпадал, а ключ B – нет. Но с помощью упомянутой утилиты его тоже оказалось легко получить.
Дальше я принялась исследовать содержимое транспортной карты. 8-й сектор состоит из 4-х блоков по 16 байт. С помощью MCT стало понятно, что первый блок является т. н. Value-блоком. Первым делом пришла мысль, что в этом блоке и хранится баланс карты. С помощью MCT удалось его декодировать – он содержал число 2147483647. На баланс карты, будь он даже в копейках, это явно было не похоже.
Потом я совершила поездку по этой карте и обнаружила, прочитав содержимое сектора, что значение не поменялось, а вот содержимое других блоков изменилось. Из чего был сделан вывод, что баланс карты хранится в них.
Разбирать содержимое карты особого желания не было, ведь я хотела попробовать так называемую replay attack (это я уже потом узнала, как она правильно называется).
(картинка не моя — мне совсем не хотелось привлекать внимание)
Так я поняла, что таким образом можно делать «вечный проездной». Я решила немного побаловаться и записала содержимое сектора транспортной карты в домофонный брелок.
(вот такой же брелок я использовала для записи в него транспортной карты)
Я попробовала пройти через турникет, приложив брелок, но тут меня постигло разочарование – брелок, к моему удивлению, не сработал. Я подумала, что мою транспортную карту заблокировала (ведь брелок был ее клоном), но при прикладывании «оригинала» (транспортной карты) пройти через турникет удалось.
Я поговорила с братом, хотела узнать, что он думает по этому поводу, и он мне рассказал, что у каждой карты и брелка есть свой идентификационный номер. По всей видимости, мой «клон» был не полным, а содержимое в карте неким образом завязано на ее номер.
Но оказалось, что был выход и из этой ситуации: есть некоторые виды брелков, которые по виду точно такие же, но у них можно менять их номер (у обычных транспортных карт это сделать не получится). Более того, в MCT есть такая функция по перезаписи номера, поскольку он храниться в первом блоке нулевого сектора.
Правда, почему-то поменять номер с помощью MCT не получилось. Но получилось это сделать с помощью ридера и все того же libnfc.
На сей раз у меня получился полный клон транспортной карты в виде брелка, ведь даже номер совпадал. Я попробовала пройти через турникет по домофонному брелку, и это у меня легко получилось. В автобусе прикладывать брелок не рискнула, поскольку тетенька кондуктор могла бы очень удивиться, а вот «вечная» транспортная карта сработала тоже без проблем.
Итак, подводя итоги, можно сказать следующее: транспортные карты для оплаты проезда в Нижнем Новгороде так же легко взламываются, как и «Тройка» (Москва) и «Подорожник» (Санкт-Петербург).
Хочу сразу отметить, предвидя вопросы, что никакого ущерба метрополитену нанесено не было – я учитывала все поездки, совершенные по «вечному проездному», поэтому соответствующий сумме таких поездок остаток на карте не стала расходовать, а саму карту потом уничтожила.
Но ведь злоумышленники не такие сознательные, наверняка они пользуются подобной уязвимостью и наносят ущерб городскому транспорту. Мы же получаем регулярно растущие тарифы на проезд (может быть, в том числе из-за потерь по подделке транспортных карт). Кстати, залог за транспортную карту составляет 50 руб. А ведь точно такие же по безопасности карты Mifare Classic стоят 12,5 руб и ниже.
Складывается ощущение, что все транспортные системы, где используются транспортные карты, небезопасны. Не хочу рассуждать, почему так происходит (эта тема не для Хабра), остается лишь задать вопрос: кто (какой город) следующий и когда ждать про это статью на Хабре?
