非接触式IC卡漏洞利用及防范方法

◆崔濯寒

非接触式IC卡漏洞利用及防范方法

◆崔濯寒

（大连东软信息学院计算机学院 辽宁 116032）

随着非接触式IC卡使用的范围不断扩大，非接触式IC卡的种类也越来越多，本文按照非接触式IC卡的分类进行了安全测试，总结了目前市场上出现的非接触式IC卡的优势和存在的安全风险，并且提出解决安全问题的策略。

非接触式IC卡；分类；优势；安全风险

1 非接触式IC卡概述

随着社会的发展，门禁卡、饭卡、电梯卡等使用的场合越来越多。这些都是非接触式IC卡，又称射频卡，由IC芯片、感应天线组成，封装在一个标准的PVC卡片内，芯片及天线无任何外露部分。非接触式IC卡是将射频识别技术和IC卡技术结合起来的最近几年发展起来的一项新技术，解决了无源（卡中无电源）和免接触技术这一难题，取得了电子器件领域的一大突破。卡片在一定距离范围（通常为5～10cm）靠近读写器表面，通过无线电波的传递来完成数据的读写操作。

2 非接触式IC卡的优势

接触式IC卡的接触点易受到磨损；在有读取器的前提下，任何人都可以对卡的内容进行读取、复制、盗用。与之相比，非接触式IC卡能够对其扇区进行加密；表面无任何触点，不易磨损；有滚动算法加密方式，能根据数据的变化进行加密，极大地增加了非接触式IC卡的安全性。

3 非接触式IC卡的分类及发展

常见的非接触式IC卡有：M1卡、UID卡、CUID卡、FUID卡、UFUID卡。对以上几种卡的特性进行解读后，会发现非接触式IC卡都是对M1卡进行复制后而产生的。原因在于，使用者可以利用设备复制M1卡的数据，将数据写到任意扇区都可修改的UID卡中，达到复制卡的目的，后来复制卡又衍生出了CUID卡、FUID卡和UFUID卡三种专用于复制的复制卡。

市面上最常见的是M1卡。M1卡存放卡号的扇区数据不可修改，其他扇区数据可随意修改，也就是说该卡的卡号是唯一的，所以确定了使用者身份的唯一性，但发卡者可以对其他扇区数据进行加密后写入，加密后的数据仍有可能用密码学原理还原。即便非接触式IC卡已经比接触式卡IC安全系数高了很多，但仍存在安全问题。

4 非接触式IC卡安全测试

在了解非接触式IC卡发展的基础上，对非接触式IC卡的安全问题中的复制问题和数据安全问题进行研究，以下是实践技术测试。需要的设备：读卡器设备（proxmark3）、嗅探设备（Chameleon）、UID卡、M1卡、CUID卡、FUID卡。测试环境：电梯控制系统和门禁系统。

4.1 电梯卡的复制安全问题测试

第一步，先使用读卡器读取卡的类型为M1卡，显示为Answers to Chinese magic backdoor commands：“No”.表示此卡不响应后门指令。第二步，进行卡密破解。经过破解，这时解出密码分为key A和key B两个，两个密码都储存在该扇区的3区块，key A是3区块前12位，key B是3区块后12位。第三步，分析加密扇区。在加密的基础上，读取出的全扇区数据如下：

0 扇区；

0区块：24 BC CF D0 87 08 04 00 62 63 64 65 66 67 68 69

1区块：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

2区块：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

3区块：FF FF FF FF FF FF FF 07 80 69 FF FF FF FF FF FF

1 扇区：

0区块：EB 27 0F 10 08 18 06 03 0B 00 00 00 00 00 00 21

1区块：00 00 00 1B 67 29 9F 00 00 00 00 00 00 00 00 0A

随着经济的全面发展和人们生活水平的普遍提高，医院、影院、体育场和政务中心等的规模也随之扩大和完善，管线的布置成为了大型综合建筑施工中的关键问题。有效和合理的管线布置可以有效的提高建筑中的空间利用率，同时才不会影响建筑物的美观。事先完成综合管线的设计和布置方案，才能够在施工进行时，不同的施工单位按照设计好的方案高效的完成各自的管线布置，才能够按照预定的时间完成施工计划，确保在施工过程有条不紊地进行。

2区块：0C 00 00 00 00 00 00 43 00 00 00 00 00 00 00 00

3区块：36 88 99 A8 2C 65 FF 07 80 00 36 88 99 A8 2C 65

2-15扇区数据均一样：

0区块：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

1区块：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

2区块：00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

3区块：FF FF FF FF FF FF FF 07 80 69 FF FF FF FF FF FF

第四步，对UID卡的测试。测试目的：是否可以通过门禁。把测试UID卡放到我们自己的读卡器上，进行读取IC卡的类型的操作，可以看到：UID卡对后门指令是有响应的，这也就是“防复制”功能实现的原理：系统先发送一个后门指令给IC卡，如果卡响应后门指令，则不允许通过。识别卡显示内容：Answers to magic commands（GEN 1a）：Yes。

第五步，测试CUID卡。测试目的：能否开门。用读卡器读取空白的CUID卡的类型，读卡器显示：Answers to magic commands：No. 可以看出CUID卡是不响应后门指令的，将数据写入CUID卡中再次进行尝试，成功通过。

4.2 非接触式IC卡数据安全问题测试

上述实验成功复现了复制卡的安全问题，那么在复制卡安全问题的基础上，其实还存在卡中数据泄露和修改的安全问题，这里将继续使用这张M1卡中的用户数据对这一安全问题进行深入研究。

通过观察1扇区0区块的数据不难发现：0603，这一数据对应的正是门牌号，是不是只修改这段数据就能到别的楼层呢？将0603改为3003，也就是伪造了用户住在30层的3号，将改好的数据写入一张CUID卡中进行刷卡测试，成功获得了电梯的30层权限。尽管通过修改IC芯片内的数据能使本楼内的电梯到达任意楼层，但还是存在两个问题：1.这样修改数据能否在其他单元产生效果；2.到本楼的某个楼层还需要修改数据而且步骤烦琐。我们先尝试解决第一个问题，到别的单元进行刷卡：失败。说明不同单元应该使用了不同的数据段来标识。通过查找资料和实验得出如下结论：通过修改该梯控系统的1扇区1区块能够使用户卡变成通用卡，具体方法如下：将1扇区0区块的7、8位数字改成20，后面的0818不变，将后20位数字全部改为0。将上述数据写入一张CUID卡中，经过测试，该卡拥有了全小区任意单元任意楼层的权限，已经成为一张合格的通用卡。然而数据安全问题仍未结束。由于该电梯控制系统卡有确认时效性功能，卡中存在标识有效使用日期的数据，如不在到期日期前更新日期数据，那么卡过期后就无法使用，通过查资料和对芯片中日期数据存储算法进行分析后发现：日期数据是储存在1扇区1区块。通过日期的存储算法可编写软件自动对日期数据进行分析和计算：

可以看到这张卡是2020/12/31到期，再将想要修改的日期输入软件中计算数据得到如下结果：0000001B67C79F000000000000E3000A将该数据替换原来的日期数据即可实现2099年到期。

以上就是一次完整的对电梯控制系统的复制卡的安全问题和数据安全问题的复现。

5 非接触式IC卡漏洞产生原因分析

出现以上漏洞的主要原因是梯控系统老旧，缺少防复制和加密IC卡的数据功能，容易泄露所在楼层的信息以及梯控系统存储、读取IC芯片数据中的规律。应及时更新梯控系统，加入滚动校验码、防UID、CUID卡复制功能等多种保护机制。虽然这些方法能有效提升其安全性，但仍然存在漏洞，如：FUID卡的0扇区只能写入一次后就会锁定的特性还是可以通过最新的防复制功能，以及UFUID可随意“锁卡”的特性也能轻易突破防复制功能。

6 预防非接触式IC卡漏洞的安全措施

（1）对于个人使用者来说，非接触式IC卡本身的设计缺陷很可能带来个人财产损失和个人隐私泄露问题，为防止被“盗刷”的概率，可以使用电子信号或电子仪器屏蔽袋来装非接触式IC卡，便携型屏蔽袋成本低，适用于个人使用，能够有效避免来自公共环境的“无线盗刷”情况。或者使用手机的NFC功能取代实体非接触式IC卡，不使用时在手机中关闭NFC功能即能防止公共环境下的盗刷情况，但这种解决方法受限于非接触式IC卡芯片的类型及IC芯片是否加密等因素。以上两种办法只能防止在公共环境下的随机盗刷，如果攻击者在刷卡器上安装盗刷设备，以上方法便无能为力了。

（2）对于非接触式IC卡的发卡者来说，首先加强对刷卡器的维护和管理，在刷卡器上安装报警装置，如果有其他读卡器类无线读取设备接入立即报警。其次，增加单个非接触式IC卡中的IC芯片数量或种类是个弥补非接触式IC卡设计漏洞有效方案。可以在一个IC卡片中嵌入两个或多个线圈和IC芯片，识别身份时检验两个或多个IC芯片的数据，以达到多重认证的效果，这样，即便用户的卡在公共环境下被无线盗卡，就目前的技术而言，攻击者只能一次读取或复制一个IC芯片的数据，不能同时读取或复制多个IC芯片的数据，这样就通过多重认证的方式减小了非接触式IC卡被盗刷的可能性，但并没有从根本上解决非接触式IC卡的设计缺陷问题。

（3）对于非接触式IC卡的设计者而言，重新设计IC芯片的读取方式或结构无疑是一个不错的选择。随着大数据和物联网技术的不断推进，用如人脸识别等生物特征式识别系统取代一些老旧的门禁类系统显然是个不错的选择，生物特征式识别系统能够保证用户身份的唯一性，且不能被复制，完美解决了非接触式IC易被复制和多使用者的问题。

[1]刘健，孙沛豪. 接触式IC卡智能锁具专利技术现状研究分析[J]. 科技风，2019（10）：18.

[2]树豫，耿丽，胡海涛，曹星雨，马晴晴. 基于非接触式IC卡的智能门锁设计[J]. 科技风，2021（04）：5-6.

[3]史云玲，张永奇，魏喜雯. 非接触式IC卡门禁安防系统的设计[J]. 山东工业技术，2016（03）：244.