Эксперты предупреждают, что бесконтактные карты, используемые для открытия дверей в отелях и офисах по всему миру, содержат уязвимости, позволяющие любому человеку открыть практически любую дверь.
Исследователи по кибербезопасности из компании Quirkslab изучили карту FM11RF08S, вариант карты MIFARE Classic, выпущенный в 2020 году компанией Shanghai Fudan Microelectronics. Эта компания считается ведущим китайским производителем несовместимых «MIFARE аналогичных» чипов.
Согласно отчету, FM11RF08S имеет защитные механизмы, «разработанные для предотвращения всех известных атак на карты», однако популярность использования данной карты продолжает расти с каждым днем.
Сломана за считанные минуты
Исследователи заявляют, что им потребовалось «несколько минут», чтобы найти атаку, взламывающую секретные ключи сектора FM11RF08S при условии, что ключи повторялись как минимум в трех секторах или на трех картах.
Дальнейший анализ выявил аппаратную уязвимость, позволяющую аутентификацию с неизвестным ключом. Когда исследователи взломали секретный ключ карты, они обнаружили, что он общий для всех существующих карт FM11RF08S.
С этой уязвимостью эксперты смогли разработать «несколько других» атак, каждая из которых могла взломать все ключи любой карты всего за несколько минут, без необходимости знать какие-либо исходные ключи, кроме уязвимого.
В довершение всего, Quirkslab обратили внимание на более старые модели и обнаружили «похожую уязвимость» в предыдущем поколении карт — FM11RF08, которая защищалась другим ключом. После взлома второго ключа оказалось, что он общий для всех карт FM11RF08, а также для других моделей Fudan (FM11RF32, FM1208-10 и, вероятно, других), включая старые карты от NXP и Infineon, которые датируются концом 2007 года.
Исследователи советуют пользователям проверить свою инфраструктуру и оценить риски. «Многие, вероятно, не в курсе, что карты MIFARE Classic, которые они получили от своего поставщика, на самом деле являются картами Fudan FM11RF08 или FM11RF08S, так как эти два чипа не ограничены китайским рынком. Например, мы обнаружили такие карты во множестве отелей по всему США, Европе и Индии,» -говорят исследователи.
Источник: TechRadar
