Експерти з кібербезпеки компанії Quarkslab виявили критичну вразливість у мільйонах RFID-карт, виготовлених Shanghai Fudan Microelectronics Group – провідним китайським виробником чіпів. Ця вразливість, яку дослідники класифікують як “бекдор”, дозволяє зловмисникам майже миттєво клонувати карти, побудовані на чіпах MIFARE Classic від NXP.
Масштаб проблеми та потенційні наслідки
Уразливі карти широко використовуються в громадському транспорті, офісах, готелях, фінансових установах та інших організаціях по всьому світу. Для здійснення атаки зловмиснику достатньо провести кілька хвилин поруч з вразливою картою. У випадку масової атаки на ланцюжок поставок, компрометацію можна здійснити практично миттєво і у великих масштабах.
Історія виявлення вразливості
Бекдор був виявлений випадково під час дослідження безпеки сімейства смарт-карт MIFARE Classic. Ці карти, запущені в 1994 році компанією Philips (нині NXP Semiconductors), неодноразово піддавалися атакам протягом років. Особливо проблемними були вразливості, що допускали атаки типу card-only, які дозволяли зловмисникам клонувати карти або читати і перезаписувати їх вміст, просто перебуваючи поруч протягом кількох хвилин.
Еволюція захисту та поява нових вразливостей
З часом виявлені вразливості усувалися в нових версіях MIFARE Classic. У 2020 році Shanghai Fudan Microelectronics представила версію FM11RF08S MIFARE Classic з покращеним захистом. Однак, досліджуючи цю версію, експерти Quarkslab виявили апаратний бекдор, що дозволяє виконувати аутентифікацію за допомогою невідомого ключа.
Технічні деталі вразливості
Дослідники встановили, що бекдор-ключ A396EFA4E24F є однаковим для всіх існуючих карт FM11RF08S. Аналогічний бекдор з іншим ключем A31667A8CEC1 був знайдений у попередньому поколінні карт (FM11RF08) та інших моделях цього виробника. Експерти вважають, що бекдор з’явився ще в 2007 році, що означає, що мільйони карт, випущених за останні 17 років, можна легко клонувати за кілька хвилин або навіть секунд.
Глобальний масштаб загрози
Важливо відзначити, що вразливі карти поширені не тільки на китайському ринку. Дослідники виявили їх використання в багатьох готелях США, Індії та країн Європи. Багато організацій можуть навіть не підозрювати, що отримані ними карти MIFARE Classic насправді є вразливими моделями Fudan FM11RF08 або FM11RF08S.
Ця критична вразливість підкреслює важливість постійного моніторингу та оновлення систем безпеки. Організаціям, що використовують RFID-карти, рекомендується терміново перевірити свої системи на наявність вразливих моделей та розглянути можливість переходу на більш захищені альтернативи. Крім того, цей випадок нагадує про необхідність регулярного проведення незалежних аудитів безпеки для виявлення потенційних загроз, перш ніж ними зможуть скористатися зловмисники.