Red de conocimiento informático - Material del sitio web - Cómo hackear tarjetas de pago RFID usando esta aplicación para Android

Cómo hackear tarjetas de pago RFID usando esta aplicación para Android

Con la proliferación de dispositivos inteligentes y NFC, pagar con tarjetas RFID se está volviendo cada vez más popular. Hoy en día, todas las tarjetas sin contacto (incluidas, entre otras, tarjetas de seguridad social, tarjetas de comida, tarjetas de transporte, tarjetas de acceso, etc.) utilizan tecnología RFID. Al mismo tiempo, las tarjetas inteligentes RFID atraen cada vez más la atención de los atacantes.

Aplicación especializada en tarjetas inteligentes RFID

¡Esta es una aplicación para Android llamada Punto BIP que puede usarse para hackear el sistema de pago electrónico NFC Tarjeta BIP! , el costo del crimen es muy bajo y la gente incluso puede descargarlo de los principales foros y blogs. Trend Micro publicó un artículo sobre cómo utilizar esta aplicación de Android para comprometer las tarjetas de pago RFID, analizando específicamente los riesgos de los pagos RFID.

Freebuf Popular Science

Tecnología RFID: la tecnología de identificación por radiofrecuencia es una tecnología de comunicación que identifica objetivos específicos a través de señales de radio y lee y escribe datos relacionados. No es necesario distinguir entre ellos. sistema de identificación y el objetivo específico Establecer contacto mecánico u óptico entre ellos.

Tecnología NFC: Tecnología de comunicación de campo cercano, desarrollada a partir de la identificación por radiofrecuencia (RFID) sin contacto.

Tarjeta MIFARE: Actualmente la tarjeta IC inteligente inductiva más utilizada con la tecnología más madura, el rendimiento más estable y la mayor capacidad de almacenamiento del mundo. Las tarjetas de la serie Mifare se dividen en Mifare UltraLight, también conocida como MF0, Mifare S50 y S70, también conocida como MF1, Mifare Pro, también conocida como MF2, y Mifare Desfire, también conocida como MF3, según los diferentes chips utilizados en la tarjeta. .

El costo del crimen es bajo: la gente común puede convertirse en piratas informáticos en unos minutos

qQQFvuu.png

En lo que respecta a la tarjeta de autobús chilena, Incluso aquellos que no entienden de tecnología, los delincuentes también solo necesitan instalar la aplicación en un teléfono Android que admita NFC. En el caso de la tarjeta de autobús chilena, incluso un delincuente experto en tecnología puede simplemente instalar la aplicación en un teléfono Android con NFC, sostener la tarjeta cerca de la pantalla, presionar el botón "Cargar 10k" y cargar la tarjeta instantáneamente. Recarga con 10.000 pesos chilenos (aproximadamente $17 USD). No es mucho dinero, pero sí a largo plazo.

La aplicación de Android tiene cuatro funciones principales:

1.número BIP: Obtener el número de la tarjeta

2.saldo BIP: Obtener el saldo disponible en la tarjeta

3.data carga: Recargar saldo disponible

4.número BIP: Cambiar número de tarjeta

La última función es especialmente peligrosa. Hay una función que es particularmente peligrosa: las consecuencias de cambiar el número de tarjeta son muy graves, una vez utilizada de forma maliciosa, provocará un gran impacto social negativo y pérdidas económicas.

Análisis de principios

Al analizar el código fuente de este programa de Android, descubrimos que el atacante escribía datos preparados en la tarjeta y luego ajustaba el saldo de la tarjeta a voluntad. La razón por la que puede leer y escribir datos en tarjetas RFID sin estar restringido por el mecanismo de autenticación es porque la tarjeta inteligente correspondiente es una versión anterior de la tarjeta Mifare, que tiene múltiples vulnerabilidades de seguridad. Estas vulnerabilidades permiten a los piratas informáticos clonar y reescribir el contenido de las tarjetas Mifare Classic utilizando dispositivos comunes como Proxmark3.

Mifare-RFID-implementation-Proxmark3.jpg

Los piratas informáticos pueden descifrar fácilmente la clave de verificación de la tarjeta utilizando herramientas comunes. Con la clave de autenticación y la compatibilidad nativa con NFC, un atacante puede sobrescribir fácilmente la tarjeta y clonar una nueva.

Mifare-RFID-Key-cracking-tool.jpg

Las herramientas y programas (métodos) de seguridad proporcionados en este sitio web pueden ser ofensivos y son solo para fines de investigación y enseñanza de seguridad. Riesgos ¡Asúmelo tú mismo!

Para facilitar la investigación de seguridad, proporcionamos la fuente de descarga de este malware a través de motores de búsqueda.

Sin embargo, según investigadores de seguridad extranjeros, en comparación con el programa original, la versión mejorada ha cambiado. Tenga cuidado si desea descargar zapatos para niños para realizar investigaciones.

Tarjetas de seguridad social, pagos y comidas en riesgo

No sólo se ven afectadas las tarjetas MIFARE Classic, sino también las tarjetas MIFARE DESFire y MIFARE Ultralight (mencionadas anteriormente).

Trend Micro afirma que al menos tres tipos de tarjetas están actualmente afectadas: tarjetas de seguridad social (con servicios bancarios asociados), tarjetas de pago y tarjetas de restaurante. Las tarjetas de seguridad social (relacionadas con servicios bancarios) y las tarjetas de pago son tarjetas MIFARE DESFire, que son vulnerables a ataques de canal lateral. Las tarjetas de restaurante son una tarjeta Mifare Classic que permite a los atacantes cambiar sus límites de crédito;

00 .jpg

Si se monitorean los sistemas de cifrado de estas tarjetas en caso de una infracción, las claves se pueden recuperar en un plazo de siete horas. Si las claves no son aleatorias, estas tarjetas se pueden modificar y clonar como las tarjetas MIFARE Classic. Peor aún, incluso las tarjetas de crédito pueden ser manipuladas por aplicaciones de Android en dispositivos móviles equipados con NFC.

¿Por qué es tan peligroso? Además del hecho de que estas tarjetas utilizan tecnología obsoleta, también existen razones para ahorrar costes de producción de tarjetas o "las buenas intenciones no se pagan".

Consejos de expertos

Esté atento a los saldos de sus tarjetas, establezca recordatorios de cargos y verifique si la tarjeta RFID que utiliza pertenece a una de las categorías descritas en este artículo.