随着智能设备以及NFC的普及,用RFID卡缴纳显得更加风行。现在的非接触式卡片(还包括但不仅限于社保卡、饭卡、交通卡、门禁卡等)都是用于的RFID技术。
与此同时,RFID智能卡也更加受到攻击者的注目。 北京地铁票卡被黑,以及不久前在智利再次发生的交通卡被黑事件都是典型例子:窃贼将NFC手机用力附近交通卡就伪造了卡中的余额。
专攻RFID智能卡的APP 这是一款取名为PuntoBIP!的安卓APP,它可以用来白丢弃NFC电子支付系统TarjetaBIP!,而且犯罪成本非常低,人们甚至在各大论坛和博客都可以iTunes到。趋势科技公布了一篇文章,阐述了如何利用该安卓应用于白丢弃RFID支付卡,里面专门辩论了RFID缴纳的风险。
RFID智能卡犯罪:小心你的卡片安全性 犯罪成本低:普通人分分钟逆黑客 RFID智能卡犯罪:小心你的卡片安全性 在智利那个交通卡案例里,即使不懂技术的犯罪者,只必须在不存在NFC功能的安卓手机上可当该APP,然后把该交通卡切合手机屏幕,并按下Cargar10k,那么就可以立刻为交通卡充值1万智利比索(约合17美元)。钱虽不多,但长年下来还是相当大一笔收益。 这款安卓APP有四个主要功能: 1、nmeroBIP:用作获得卡号 2、saldoBIP:取得卡内能用余额 3、Datacarga:充值能用余额 4、nmeroBIP:转变卡号 最后一个功能最为危险性,卡号被变更的后果十分相当严重,一旦这种技术被蓄意利用,不会导致很大的负面社会影响和经济损失。
原理分析 通过对该安卓程序的源码分析,我们找到攻击者不会把事前准备好的数据写出入卡里,然后随便的调节卡内余额。它之所以需要给定读取RFID卡中的数据而受证书机制所容许,是因为适当的智能卡为老版本的Mifare中不存在多个安全漏洞。这些漏洞容许黑客用于普通设备(如Proxmark3)克隆重写MifareClassic卡里的内容。
RFID智能卡犯罪:小心你的卡片安全性 黑客可以只能地通过用于普通工具,密码该卡的证书密钥。在证书密钥和本地NFC的反对下,攻击者可以只能的对卡改写,而再行克隆一张新的卡也是轻而易举。 本站获取安全性工具、程序(方法)有可能具有攻击性,专供安全性研究与教学之用,风险轻视! 为了便于大家展开安全性研究,在这里获取通过搜索引擎获得的该恶意软件iTunes源。不过据某国外安全性研究人员所述,与原本的程序比起,升级后的版本早已有所转变,想iTunes研究的童鞋请求慎重。
社保卡、支付卡和饭卡不存在风险 不仅MIFAREClassic卡受到影响,连MIFAREDESFire和MIFAREUltralight(上文中有讲解)卡也意外中招。 趋势科技称之为,目前不受影响的最少有三种卡片:社会保障卡(关联银行服务)、支付卡和就餐卡。
社会保障卡(关联银行服务)、支付卡是MIFAREDESFire卡,它们更容易受到外侧信道反击;就餐卡是一种MifareClassic卡,攻击者可以对其额度展开改动; NFC 这些卡内的密码系统再次发生信息外泄时若有监控措施,那么密钥可以在七小时内完全恢复。如果密钥不随机,这些卡会像MIFAREClassic一般被改动克隆。更糟的是,就连信用卡也能被配有有NFC的移动设备的安卓应用于所操作者。
为什么这么危险性?除了因为这些卡片使用的是过时的技术外,也有节约制卡成本或者说低廉无好货的原因。 专家建议 注意卡内余额,设置扣费警告,并检查否自己用于的RFID卡是文中所述的哪一类。
本文来源:泛亚电竞-www.lnxwtjq.com