◆崔濯寒

非接觸式IC卡漏洞利用及防范方法

◆崔濯寒

（大連東軟信息學(xué)院計(jì)算機(jī)學(xué)院 遼寧 116032）

隨著非接觸式IC卡使用的范圍不斷擴(kuò)大，非接觸式IC卡的種類(lèi)也越來(lái)越多，本文按照非接觸式IC卡的分類(lèi)進(jìn)行了安全測(cè)試，總結(jié)了目前市場(chǎng)上出現(xiàn)的非接觸式IC卡的優(yōu)勢(shì)和存在的安全風(fēng)險(xiǎn)，并且提出解決安全問(wèn)題的策略。

非接觸式IC卡；分類(lèi)；優(yōu)勢(shì)；安全風(fēng)險(xiǎn)

1 非接觸式IC卡概述

隨著社會(huì)的發(fā)展，門(mén)禁卡、飯卡、電梯卡等使用的場(chǎng)合越來(lái)越多。這些都是非接觸式IC卡，又稱(chēng)射頻卡，由IC芯片、感應(yīng)天線(xiàn)組成，封裝在一個(gè)標(biāo)準(zhǔn)的PVC卡片內(nèi)，芯片及天線(xiàn)無(wú)任何外露部分。非接觸式IC卡是將射頻識(shí)別技術(shù)和IC卡技術(shù)結(jié)合起來(lái)的最近幾年發(fā)展起來(lái)的一項(xiàng)新技術(shù)，解決了無(wú)源（卡中無(wú)電源）和免接觸技術(shù)這一難題，取得了電子器件領(lǐng)域的一大突破?？ㄆ谝欢ň嚯x范圍（通常為5～10cm）靠近讀寫(xiě)器表面，通過(guò)無(wú)線(xiàn)電波的傳遞來(lái)完成數(shù)據(jù)的讀寫(xiě)操作。

2 非接觸式IC卡的優(yōu)勢(shì)

接觸式IC卡的接觸點(diǎn)易受到磨損；在有讀取器的前提下，任何人都可以對(duì)卡的內(nèi)容進(jìn)行讀取、復(fù)制、盜用。與之相比，非接觸式IC卡能夠?qū)ζ渖葏^(qū)進(jìn)行加密；表面無(wú)任何觸點(diǎn)，不易磨損；有滾動(dòng)算法加密方式，能根據(jù)數(shù)據(jù)的變化進(jìn)行加密，極大地增加了非接觸式IC卡的安全性。

3 非接觸式IC卡的分類(lèi)及發(fā)展

常見(jiàn)的非接觸式IC卡有：M1卡、UID卡、CUID卡、FUID卡、UFUID卡。對(duì)以上幾種卡的特性進(jìn)行解讀后，會(huì)發(fā)現(xiàn)非接觸式IC卡都是對(duì)M1卡進(jìn)行復(fù)制后而產(chǎn)生的。原因在于，使用者可以利用設(shè)備復(fù)制M1卡的數(shù)據(jù)，將數(shù)據(jù)寫(xiě)到任意扇區(qū)都可修改的UID卡中，達(dá)到復(fù)制卡的目的，后來(lái)復(fù)制卡又衍生出了CUID卡、FUID卡和UFUID卡三種專(zhuān)用于復(fù)制的復(fù)制卡。

市面上最常見(jiàn)的是M1卡。M1卡存放卡號(hào)的扇區(qū)數(shù)據(jù)不可修改，其他扇區(qū)數(shù)據(jù)可隨意修改，也就是說(shuō)該卡的卡號(hào)是唯一的，所以確定了使用者身份的唯一性，但發(fā)卡者可以對(duì)其他扇區(qū)數(shù)據(jù)進(jìn)行加密后寫(xiě)入，加密后的數(shù)據(jù)仍有可能用密碼學(xué)原理還原。即便非接觸式IC卡已經(jīng)比接觸式卡IC安全系數(shù)高了很多，但仍存在安全問(wèn)題。

4 非接觸式IC卡安全測(cè)試

在了解非接觸式IC卡發(fā)展的基礎(chǔ)上，對(duì)非接觸式IC卡的安全問(wèn)題中的復(fù)制問(wèn)題和數(shù)據(jù)安全問(wèn)題進(jìn)行研究，以下是實(shí)踐技術(shù)測(cè)試。需要的設(shè)備：讀卡器設(shè)備（proxmark3）、嗅探設(shè)備（Chameleon）、UID卡、M1卡、CUID卡、FUID卡。測(cè)試環(huán)境：電梯控制系統(tǒng)和門(mén)禁系統(tǒng)。

4.1 電梯卡的復(fù)制安全問(wèn)題測(cè)試

第一步，先使用讀卡器讀取卡的類(lèi)型為M1卡，顯示為Answers to Chinese magic backdoor commands：“No”.表示此卡不響應(yīng)后門(mén)指令。第二步，進(jìn)行卡密破解。經(jīng)過(guò)破解，這時(shí)解出密碼分為key A和key B兩個(gè)，兩個(gè)密碼都儲(chǔ)存在該扇區(qū)的3區(qū)塊，key A是3區(qū)塊前12位，key B是3區(qū)塊后12位。第三步，分析加密扇區(qū)。在加密的基礎(chǔ)上，讀取出的全扇區(qū)數(shù)據(jù)如下：

0 扇區(qū)；

0區(qū)塊：24 BC CF D0 87 08 04 00 62 63 64 65 66 67 68 69

1區(qū)塊：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

2區(qū)塊：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

3區(qū)塊：FF FF FF FF FF FF FF 07 80 69 FF FF FF FF FF FF

1 扇區(qū)：

0區(qū)塊：EB 27 0F 10 08 18 06 03 0B 00 00 00 00 00 00 21

1區(qū)塊：00 00 00 1B 67 29 9F 00 00 00 00 00 00 00 00 0A

隨著經(jīng)濟(jì)的全面發(fā)展和人們生活水平的普遍提高，醫(yī)院、影院、體育場(chǎng)和政務(wù)中心等的規(guī)模也隨之?dāng)U大和完善，管線(xiàn)的布置成為了大型綜合建筑施工中的關(guān)鍵問(wèn)題。有效和合理的管線(xiàn)布置可以有效的提高建筑中的空間利用率，同時(shí)才不會(huì)影響建筑物的美觀(guān)。事先完成綜合管線(xiàn)的設(shè)計(jì)和布置方案，才能夠在施工進(jìn)行時(shí)，不同的施工單位按照設(shè)計(jì)好的方案高效的完成各自的管線(xiàn)布置，才能夠按照預(yù)定的時(shí)間完成施工計(jì)劃，確保在施工過(guò)程有條不紊地進(jìn)行。

2區(qū)塊：0C 00 00 00 00 00 00 43 00 00 00 00 00 00 00 00

3區(qū)塊：36 88 99 A8 2C 65 FF 07 80 00 36 88 99 A8 2C 65

2-15扇區(qū)數(shù)據(jù)均一樣：

0區(qū)塊：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

1區(qū)塊：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

2區(qū)塊：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

3區(qū)塊：FF FF FF FF FF FF FF 07 80 69 FF FF FF FF FF FF

第四步，對(duì)UID卡的測(cè)試。測(cè)試目的：是否可以通過(guò)門(mén)禁。把測(cè)試UID卡放到我們自己的讀卡器上，進(jìn)行讀取IC卡的類(lèi)型的操作，可以看到：UID卡對(duì)后門(mén)指令是有響應(yīng)的，這也就是“防復(fù)制”功能實(shí)現(xiàn)的原理：系統(tǒng)先發(fā)送一個(gè)后門(mén)指令給IC卡，如果卡響應(yīng)后門(mén)指令，則不允許通過(guò)。識(shí)別卡顯示內(nèi)容：Answers to magic commands（GEN 1a）：Yes。

第五步，測(cè)試CUID卡。測(cè)試目的：能否開(kāi)門(mén)。用讀卡器讀取空白的CUID卡的類(lèi)型，讀卡器顯示：Answers to magic commands：No. 可以看出CUID卡是不響應(yīng)后門(mén)指令的，將數(shù)據(jù)寫(xiě)入CUID卡中再次進(jìn)行嘗試，成功通過(guò)。

4.2 非接觸式IC卡數(shù)據(jù)安全問(wèn)題測(cè)試

上述實(shí)驗(yàn)成功復(fù)現(xiàn)了復(fù)制卡的安全問(wèn)題，那么在復(fù)制卡安全問(wèn)題的基礎(chǔ)上，其實(shí)還存在卡中數(shù)據(jù)泄露和修改的安全問(wèn)題，這里將繼續(xù)使用這張M1卡中的用戶(hù)數(shù)據(jù)對(duì)這一安全問(wèn)題進(jìn)行深入研究。

通過(guò)觀(guān)察1扇區(qū)0區(qū)塊的數(shù)據(jù)不難發(fā)現(xiàn)：0603，這一數(shù)據(jù)對(duì)應(yīng)的正是門(mén)牌號(hào)，是不是只修改這段數(shù)據(jù)就能到別的樓層呢？將0603改為3003，也就是偽造了用戶(hù)住在30層的3號(hào)，將改好的數(shù)據(jù)寫(xiě)入一張CUID卡中進(jìn)行刷卡測(cè)試，成功獲得了電梯的30層權(quán)限。盡管通過(guò)修改IC芯片內(nèi)的數(shù)據(jù)能使本樓內(nèi)的電梯到達(dá)任意樓層，但還是存在兩個(gè)問(wèn)題：1.這樣修改數(shù)據(jù)能否在其他單元產(chǎn)生效果；2.到本樓的某個(gè)樓層還需要修改數(shù)據(jù)而且步驟煩瑣。我們先嘗試解決第一個(gè)問(wèn)題，到別的單元進(jìn)行刷卡：失敗。說(shuō)明不同單元應(yīng)該使用了不同的數(shù)據(jù)段來(lái)標(biāo)識(shí)。通過(guò)查找資料和實(shí)驗(yàn)得出如下結(jié)論：通過(guò)修改該梯控系統(tǒng)的1扇區(qū)1區(qū)塊能夠使用戶(hù)卡變成通用卡，具體方法如下：將1扇區(qū)0區(qū)塊的7、8位數(shù)字改成20，后面的0818不變，將后20位數(shù)字全部改為0。將上述數(shù)據(jù)寫(xiě)入一張CUID卡中，經(jīng)過(guò)測(cè)試，該卡擁有了全小區(qū)任意單元任意樓層的權(quán)限，已經(jīng)成為一張合格的通用卡。然而數(shù)據(jù)安全問(wèn)題仍未結(jié)束。由于該電梯控制系統(tǒng)卡有確認(rèn)時(shí)效性功能，卡中存在標(biāo)識(shí)有效使用日期的數(shù)據(jù)，如不在到期日期前更新日期數(shù)據(jù)，那么卡過(guò)期后就無(wú)法使用，通過(guò)查資料和對(duì)芯片中日期數(shù)據(jù)存儲(chǔ)算法進(jìn)行分析后發(fā)現(xiàn)：日期數(shù)據(jù)是儲(chǔ)存在1扇區(qū)1區(qū)塊。通過(guò)日期的存儲(chǔ)算法可編寫(xiě)軟件自動(dòng)對(duì)日期數(shù)據(jù)進(jìn)行分析和計(jì)算：

可以看到這張卡是2020/12/31到期，再將想要修改的日期輸入軟件中計(jì)算數(shù)據(jù)得到如下結(jié)果：0000001B67C79F000000000000E3000A將該數(shù)據(jù)替換原來(lái)的日期數(shù)據(jù)即可實(shí)現(xiàn)2099年到期。

以上就是一次完整的對(duì)電梯控制系統(tǒng)的復(fù)制卡的安全問(wèn)題和數(shù)據(jù)安全問(wèn)題的復(fù)現(xiàn)。

5 非接觸式IC卡漏洞產(chǎn)生原因分析

出現(xiàn)以上漏洞的主要原因是梯控系統(tǒng)老舊，缺少防復(fù)制和加密IC卡的數(shù)據(jù)功能，容易泄露所在樓層的信息以及梯控系統(tǒng)存儲(chǔ)、讀取IC芯片數(shù)據(jù)中的規(guī)律。應(yīng)及時(shí)更新梯控系統(tǒng)，加入滾動(dòng)校驗(yàn)碼、防UID、CUID卡復(fù)制功能等多種保護(hù)機(jī)制。雖然這些方法能有效提升其安全性，但仍然存在漏洞，如：FUID卡的0扇區(qū)只能寫(xiě)入一次后就會(huì)鎖定的特性還是可以通過(guò)最新的防復(fù)制功能，以及UFUID可隨意“鎖卡”的特性也能輕易突破防復(fù)制功能。

6 預(yù)防非接觸式IC卡漏洞的安全措施

（1）對(duì)于個(gè)人使用者來(lái)說(shuō)，非接觸式IC卡本身的設(shè)計(jì)缺陷很可能帶來(lái)個(gè)人財(cái)產(chǎn)損失和個(gè)人隱私泄露問(wèn)題，為防止被“盜刷”的概率，可以使用電子信號(hào)或電子儀器屏蔽袋來(lái)裝非接觸式IC卡，便攜型屏蔽袋成本低，適用于個(gè)人使用，能夠有效避免來(lái)自公共環(huán)境的“無(wú)線(xiàn)盜刷”情況。或者使用手機(jī)的NFC功能取代實(shí)體非接觸式IC卡，不使用時(shí)在手機(jī)中關(guān)閉NFC功能即能防止公共環(huán)境下的盜刷情況，但這種解決方法受限于非接觸式IC卡芯片的類(lèi)型及IC芯片是否加密等因素。以上兩種辦法只能防止在公共環(huán)境下的隨機(jī)盜刷，如果攻擊者在刷卡器上安裝盜刷設(shè)備，以上方法便無(wú)能為力了。

（2）對(duì)于非接觸式IC卡的發(fā)卡者來(lái)說(shuō)，首先加強(qiáng)對(duì)刷卡器的維護(hù)和管理，在刷卡器上安裝報(bào)警裝置，如果有其他讀卡器類(lèi)無(wú)線(xiàn)讀取設(shè)備接入立即報(bào)警。其次，增加單個(gè)非接觸式IC卡中的IC芯片數(shù)量或種類(lèi)是個(gè)彌補(bǔ)非接觸式IC卡設(shè)計(jì)漏洞有效方案?？梢栽谝粋€(gè)IC卡片中嵌入兩個(gè)或多個(gè)線(xiàn)圈和IC芯片，識(shí)別身份時(shí)檢驗(yàn)兩個(gè)或多個(gè)IC芯片的數(shù)據(jù)，以達(dá)到多重認(rèn)證的效果，這樣，即便用戶(hù)的卡在公共環(huán)境下被無(wú)線(xiàn)盜卡，就目前的技術(shù)而言，攻擊者只能一次讀取或復(fù)制一個(gè)IC芯片的數(shù)據(jù)，不能同時(shí)讀取或復(fù)制多個(gè)IC芯片的數(shù)據(jù)，這樣就通過(guò)多重認(rèn)證的方式減小了非接觸式IC卡被盜刷的可能性，但并沒(méi)有從根本上解決非接觸式IC卡的設(shè)計(jì)缺陷問(wèn)題。

（3）對(duì)于非接觸式IC卡的設(shè)計(jì)者而言，重新設(shè)計(jì)IC芯片的讀取方式或結(jié)構(gòu)無(wú)疑是一個(gè)不錯(cuò)的選擇。隨著大數(shù)據(jù)和物聯(lián)網(wǎng)技術(shù)的不斷推進(jìn)，用如人臉識(shí)別等生物特征式識(shí)別系統(tǒng)取代一些老舊的門(mén)禁類(lèi)系統(tǒng)顯然是個(gè)不錯(cuò)的選擇，生物特征式識(shí)別系統(tǒng)能夠保證用戶(hù)身份的唯一性，且不能被復(fù)制，完美解決了非接觸式IC易被復(fù)制和多使用者的問(wèn)題。

[1]劉健，孫沛豪. 接觸式IC卡智能鎖具專(zhuān)利技術(shù)現(xiàn)狀研究分析[J]. 科技風(fēng)，2019（10）：18.

[2]樹(shù)豫，耿麗，胡海濤，曹星雨，馬晴晴. 基于非接觸式IC卡的智能門(mén)鎖設(shè)計(jì)[J]. 科技風(fēng)，2021（04）：5-6.

[3]史云玲，張永奇，魏喜雯. 非接觸式IC卡門(mén)禁安防系統(tǒng)的設(shè)計(jì)[J]. 山東工業(yè)技術(shù)，2016（03）：244.