کارشناسان هشدار دادهاند که کارتهای بدون تماسی که برای باز کردن دربهای هتلها و دفاتر در سراسر جهان استفاده میشوند، به گونهای ناقص هستند که به هر شخصی اجازه میدهد عملاً هر دری را باز کند.
محققان امنیت سایبری از Quirkslab روی FM11RF08S، نوعی از کارت MIFARE Classic که در سال 2020 توسط Shanghai Fudan Microelectronics منتشر شد، تمرکز کردند ، ظاهراً «سازنده چینی پیشرو در تراشههای بدون مجوز «سازگار با MIFARE».
این گزارش ادعا میکند که FM11RF08S دارای اقدامات متقابلی است که «برای خنثی کردن همه حملات شناختهشده فقط با کارت طراحی شدهاند»، اما نگرانکننده است که استفاده از کارت روز به روز محبوبتر میشود.
در عرض چند دقیقه کرک شد
بر اساس گزارشها، محققان «چند دقیقه» زمان بردند تا حملهای را پیدا کنند که کلیدهای بخش FM11RF08S را میشکند - زمانی که کلیدها در حداقل سه بخش یا سه کارت دوباره استفاده میشدند.
تجزیه و تحلیل بیشتر برای آنها یک درب پشتی سخت افزاری ایجاد کرد که امکان احراز هویت با یک کلید ناشناخته را فراهم می کند، و زمانی که آنها کلید مخفی کارت را شکستند، دریافتند که "در همه کارت های موجود FM11RF08S مشترک است!".
با درب پشتی، متخصصان توانستند چندین حمله دیگر را طراحی کنند که هر یک از آنها میتوانستند تمام کلیدهای هر کارت را تنها در چند دقیقه بدون نیاز به دانستن کلیدهای اولیه (به جز درب پشتی) بشکنند.
برای افزایش آسیب، Quirkslab سپس توجه خود را به مدلهای قدیمیتر معطوف کرد و یک "درپشتی مشابه" در نسل قبلی - FM11RF08 - پیدا کرد که با کلید دیگری محافظت میشد. پس از شکستن کلید دوم، آنها متوجه شدند که آن برای همه کارتهای FM11RF08، و همچنین سایر مراجع فودان (FM11RF32، FM1208-10، و احتمالاً بیشتر)، و حتی کارتهای قدیمی NXP1 (MF1ICS5003 & MF1ICS5004) و Infineon (SLE) مشترک است. ) که برخی از آنها به اواخر سال 2007 باز می گردد.
برای نتیجه گیری، محققان به کاربران هشدار دادند که زیرساخت های خود را تحلیل کرده و خطرات را ارزیابی کنند. بسیاری از آنها احتمالاً نمیدانند که کارتهای MIFARE Classic که از تامینکننده خود دریافت کردهاند، در واقع Fudan FM11RF08 یا FM11RF08S هستند، زیرا این دو مرجع تراشهها به بازار چین محدود نمیشوند. به عنوان مثال، ما این کارت ها را در هتل های متعددی در سراسر ایالات متحده، اروپا و هند پیدا کردیم.
از طریق The Hacker News
ارسال نظر