0x00 前言

---

如今物聯網 RFID系統已經完全融入了我們的生活當中. 從樓宇門禁到 Apple Pay. 可以說其身影是無處不在.很多網友也分享了自己對RFID系統的安全測試心得.不過大多還是基於門禁卡和 Mifare-Classic 而言. 實際上在 Mifare 系列的大家族中還有著許多其他類別. 比如 Mifare-DESFire 和本文的主角 Mifare-Ultralight.

溫哥華交通公司Translink 在 2015年開始逐漸淘汰老舊的列印票務系統. 並全面推廣RFID為基礎的票務系統, 併為其取名為 Compass. 此係統為了方便不同乘客的需要, 使用了Mifare-DESFire 作為月票卡. 同時還以Mifare-Ultralight 作為一次性車票.因 Mifare-Ultralight 成本低廉, 使其成為車票的不二之選. 但也正是為了節省成本, 其安全性近乎於零. 它的天生殘疾為攻擊者開啟了一道方便之門.本文將以此輕軌RFID 票務系統為例, 跟大家一起來場RFID 系統的探索之旅.

0x01 Mifare-Ultralight 簡介

---

Mifare-Ultralight 是 NXP 公司出品的眾多Mifare系列中的一款. 其同樣工作在 13.56 Mhz. 但跟它的老大哥 Mifare-Classic 不同的是, 它並無使用任何加密, 其資料內容是可以任意訪問的. 因為造價低廉很多需要一次性門票的場合都將其作為首選.比如 2006 的世界盃比賽.其資料結構非常簡單明瞭. 總共 64 bytes. 分為16 個區, 每個區為4 bytes. 而 4 - 15 區通常會用於資料儲存, 存有時間; 入口和站臺名等. 值得一提的是此區可任意讀寫無需認證哦. ;)

UID區

其 UID 區在預設情況下是不可寫的. 佔有 9 個 bytes, 但只有 7 個bytes 作為 UID 使用. 比如 “ 04 e2 a8 c6 ba e2 43 80 9b ” 其中只有 04 e2 a8 ba e2 43 80 被識別為UID, 而 c6 和 9b 是作為校驗值 Check Bytes 存在的.

OTP 區

前面提到Ultralight 的安全性近乎於零, 是因為它設有這個One time programmable 區. 整個區分為 4 bytes, 預設數值為 00 00 00 00. 通常將其作為為車票的計數器使用. 透過 01 對每個 bits 進行 OR 不可逆運算. 直到 00 全部用完車票作廢.不過這個OTP 也是可以透過啟用 Lock Byte 來 bypass. 因為 Compass 系統並無使用OTP , 所以無做此測試.

0x02 實戰測試 — Single Fare Reset Attack

需要事先宣告整個測試過程使用的是預先支付的車票. 並僅是在車站入口處測試了 Reset 攻擊, 並無實際逃票行為. 所以不要擔心會發生被請喝茶的悲劇. 而且在下也反對濫用此類技術來做壞事... :p

<embed>

其實整個攻擊過程非常簡單. 因為Data 區可任意讀寫無需認證. 所以我們可以事先 dump 出 Compass 車票的原始資料. 等車票過期無法使用後, 用手機 APP 將原始資料寫回車票. 從而實現 Reset 攻擊, 達到系統繞過目的. :) 整個攻擊過程出奇的簡單對嗎? 而從 Translink 的角度來看, 又有哪些防禦方案呢? 其實 NXP 公司早就提供了3DES加密的 MIFARE Ultralight C. 不知道為什麼 Translink 在系統設計之初不考慮呢?

0x03 總結

---

最後要感謝在整個研究過程中提供過幫助的弟兄們. 同時在下認為系統安全加固, 有時也取決於自身對問題的態度. 出了問題不積極修復, 卻試圖將問題隱藏. 並寄希望於掌握瞭解方法的人越少越好. 這是十分不明智的處理態度.

在這裡強烈鄙視溫哥華交通公司 TransLink. 在漏洞曝光後明知系統存在隱患的情況下仍放任不理. 當記者採訪時還擺出一副有種你咬我的嘴臉. 那好吧 May the luck be with you…FXXK YOU…Now we all know how to hack you..

0x04 參考文獻

---

• http://www.nxp.com/documents/data_sheet/MF0ICU1.pdf
• https://www.youtube.com/watch?v=Czvn4L1r6f4 (Building safe NFC system --30c3)
• http://www.cbc.ca/news/canada/british-columbia/compass-ticket-hack-1.3535955
• http://bc.ctvnews.ca/security-flaw-lets-smartphone-users-hack-transit-gates-1.2852464
• https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2012/september/ultrareset-bypassing-nfc-access-control-with-your-smartphone/