Конкурс – Troika dumper – бесплатные проезды | Страница 2 | Форум информационной безопасности –

Введение

Бесконтактные платежи становятся все более популярны. На текущий момент общественный транспорт в Москве полностью переведен на бесконтактную систему оплаты. Самым популярным платежным средством становится универсальная карта Тройка, которая активно интегрируется в различные системы помимо общественного транспорта.

. Очевидно, что распространение карты будет только увеличиваться. Транспортная сеть города обслуживает территорию с населением свыше 20 млн человек и обеспечивает перевозку более 350 млн пассажиров в месяц. В свете этого становится важным вопрос защищенности карты.

Целью данного исследования было выяснить насколько защищена карта от подделки баланса электронного кошелька, изучить принцип работы карты. Проверить защищенность инфраструктуры работающей с картой Тройка.

Mifare:

Mifare – считается наиболее распространённой торговой маркой безконтактных карт, не удивительно, что именно на основе этой технологии сделали карту Тройка.

Ближе к делу:

Так вот, еще в 2022 году мы с ребятами начали разбираться с этой картой. И создали кое-что интересное.

Приложение называется Troika Dumper, GITHUB.

За основу основ для программы взяли мобильное приложение “Мой Проездной”, оно было разобрано и переработано в Troika Dumper.

Возможные цели атаки

Был проведен обзор инфраструктуры, работающей с картой Тройка, для установления наиболее привлекательных целей для атаки. Рассмотрены системы, позволяющие производить запись и считывание баланса электронного кошелька. Из основных критериев оценки была доступность для изучения без риска быть задержанным, простота и низкая стоимость.

Требовалось найти наиболее простую цель для проведения атаки, не требующую использования специальных технических средств и дорогостоящего оборудования.

Турникеты в метроВыполняют списания за поездки в метро. Предположительно, подключены к единой сети метрополитена, куда передаются проведенные транзакции. Вероятно, имеют возможность удаленного управления. Не имеют легкодоступных интерфейсов для подключения. Всегда находятся под наблюдением.

Потенциальный вектор атаки: проникновение в сеть, MitM.______

В результате экспериментов было установлено, что сектор памяти, хранящий информацию о балансе электронного кошелька, содержит криптографическую подпись для подтверждения подлинности данных, так называемую имитовставку. Данный механизм служит для защиты данных от подделки.

Все устройства, работающие с балансом электронного кошелька (турникеты, терминал), проверяют достоверность подписи, и, в случае несоответствия подписи, возвращают ошибку “карта неисправна”.

Установлено, что подпись формируется на основе уникального идентификационного номера карты (UID), поэтому клонирование сектора памяти электронного кошелька из одной карты на другую с отличным UID, всегда дает недействительную подпись.

Несмотря на то, что области памяти электронного кошелька защищены с помощью имитовставки, система оказалась уязвима для атаки повторного воспроизведения. Было сохранено состояние памяти сектора электронного кошелька до прохода через турникет, после чего выполнен проход и операция списания 31 рубля с баланса карты.

шаги атаки повторного воспроизведения

Для установления возможности реальной эксплуатации уязвимости было выполнено продолжительное тестирование атаки повторного воспроизведения на инфраструктуре общественного транспорта Москвы. Первым был протестирован наземный транспорт: троллейбусы, автобусы, трамваи.

Для тестирования систем метрополитена была куплена новая карта и пополнена на 50 рублей. Все проходы через турникеты были выполнены с помощью атаки повторного воспроизведения. Было выполнено 12 поездок в течение 2 дней на общую сумму 384 рубля.

После полного восстановления состояния памяти карты до состояния на момент приобретения, карта продолжила работать в наземном транспорте, но блокировалась при проходе в метро. Из этого следует, что турникеты в метро имеют защиту от данного вида атак, однако срабатывает она с задержкой в несколько дней.

Как избежать блокировки карты

  1. Не оперируйте суммами баланса более 100 рублей

  2. Никогда не проходите в метро два раза с одинаковым временем последнего прохода. После записи дампа обновите текущее время на карте используя валидатор в наземном транспорте.
    То есть, перед каждым проходом в метро нужно выполнить списание через желтый валидатор в автобусе или трамвае.

Как пользоваться программой:

Всё банально просто, вам надо включить приложение, поднести карту, после этого на экране отобразится подобное:

Здесь мы видим номер карты, зашифрованные данные сектора карты, а ниже расшифрованые данные.

Не обращайте внимание на дату, и сейчас всё работает. Никто ничего не стал исправлять, хотя некоторые люди знают об этом.

Конкурс – troika dumper – бесплатные проезды

Статья для участия в конкурсе

Конкурс 2022 года – авторская статья по любой тематике нашего форума!

Моя первая статья на форуме, так что не съедайте меня. Пишу для конкурса, заодно и поведую вам реально интересное.

Введение:

Вы все знаете карту Тройка:

Она устроена довольно просто. Её начинкой является чип Mifare Plus, именно его уязвимость эксплуатирует данная прошрамм, также карта хранит все данные в себе.

Поняв это, мы можем предположить то, что эту карту можно вскрыть и пополнить себе баланс. К сожалению, если пополнить себе баланс, то это заметят и карту заблокируют. По этому лучший вариант, это сделать дамп памяти карты и пользоваться им.

Ближе к делу:

Так вот, в далёком 2022 один хороший человек разобрался с этой карточкой и написал приложение о котором я расскажу.

Приложение называется Troika Dumper,

GITHUB

.

За основу основ для программы взяли мобильное приложение “Мой Проездной”, оно было разобрано и переработано в Troika Dumper.

Смысл работы программы:

Troika dumper позволяет читать, сохранять и восстанавливать записанное состояние памяти карты Тройка. Для использования необходим телефон с версией Android ≥ 4.4 и NFC чипом, поддерживающим карты Mifare.

Mifare:

Mifare – считается наиболее распространённой торговой маркой безконтактных карт, не удивительно, что именно на основе этой технологии сделали карту Тройка.

Как сделали:

Раскрыв приложение “Мой Проездной” разработчиком Troika Dumper были внесены изменения в программу, он удалил проверку ssl сертификата, который использовался для соединения с сервиром, что позволило совершить перехват трафика и полнее понять работу карты. Оказалось, что все данные хранятся в карте: баланс, последнее время прохода и прочие данные. Выглядит это примерно так:

Наша программа сохраняет все эти данные а файл, а после этот файл можно использовать для записи на карту.

Как пользоваться программой:

Всё банально просто, вам надо включить приложение, поднести карту, после этого на экране отобразится подобное:

Здесь мы видим номер карты, зашифрованные данные сектора карты, а ниже расшифрованые данные.

Не обращайте внимание на дату, и сейчас всё работает. Никто ничего не стал исправлять, хотя некоторые люди знают об этом.

Пример использования (что бы вашу карту не заблокировали):

Придуман чисто мной, я не призываю вас его использовать.

1. Сохраняем состояние карты на телефон (Просто подносим карту к телефону)

2. Идём в метро и платим

3. Выползаем на той станции где вам надо

4. Записываем дамп с телефона на карту (Кнопка “карандаш” и прикладываем карту)

5. Идём в автобус и платим там проезд (Только в случае если обратно собираетесь в метро, это нужно для обновления времени проезда, ведь сейчас на карте уже дамп карты до её использования)

Короче, Вам надо сделать дамп, и каждый раз перед входом в метрополитен, мы платим за проезд в автобусе, тем самым обновляя последнее время проезда. А в метро заливаем дамп на карту и всё начинается с начала.

Никогда не платите в метро картой у которой одно и то же время прошлого использования, блок прилетит сразу.

Выводы:

Это очень интересная программа. Но у всего есть свои минусы, например все эти действия попадают под 159.3 УК РФ как махинации с электронными картами. Минимальный срок заключения – 3 года. Так что не стоит этим этим сильно увлекаться.

Из этого можно понять, что не всё слишком хорошо защищено, даже такая известная карта, которая есть у каждого москвича, имеет свои уязвимости.

Всё предоставлено только для ознакомления, если Вы вдруг сделаете нехорошые вещи, то вся ответственность лежит на Вас, не забывайте это!

Ссылки:

Перехват трафика приложения

Перехват защищенного трафика выполняется методом проксирования SSL-подключений с подменой сертификата сервера. Для этого существуют инструменты, вроде

, позволяющие выполнять подмену сертификата и запись расшифрованных данных автоматически. В данном случае, mitmproxy запущен на сервере, к которому по WiFi подключен смартфон с установленным приложением «Мой проездной». В приложении выполнена аутентификация по PIN-коду и произведена проверка баланса на карте Тройка. Все передаваемые в этот момент данные между сервером и приложением были записаны и проанализированы.

В рамках данного исследования, для удобства эксплуатации атаки повторного воспроизведения было создано приложение TroikaDumper. Оно позволяет локально (без подключения к интернету) просматривать записанные в памяти карты данные, такие как: баланс электронного кошелька, время последнего прохода через турникет, идентификатор последнего турникета, имитовставку, серийный номер карты Тройка, идентификационный номер карты (UID).

Приложение позволяет сохранять состояние памяти и записывать его на карту.

Приложение доступно в исходных текстах

Смысл работы программы:

Troika dumper позволяет читать, сохранять и восстанавливать записанное состояние памяти карты Тройка. Для использования необходим телефон с версией Android ≥ 4.4 и NFC чипом, поддерживающим карты Mifare.

Добавить комментарий

Ваш адрес email не будет опубликован.

Adblock
detector