Карты оплаты проезда на основе RFID окончательно взломаны — опубликованы инструкции
Хочется ездить в метро бесплатно, не перепрыгивая при этом через турникеты?
Что ж, с понедельника это стало возможным при помощи поддельных карт оплаты.
По крайней мере во многих европейских странах…
Приведенное Radboud University Nijmegen детальное описание уязвимостей в чипах беспроводных смарт-карт Mifare Classic, используемых для оплаты проезда в транспортных сетях по всему миру, теперь доступно для изучения.
Одновременно с этим, эксперт берлинского Humboldt University опубликовал наглядное пособие по применению этого алгоритма (PDF).
Карстен Ноль, эксперт в области карт на основе радиочастотной идентификации (RFID), заявил по этому поводу, что имея на руках вышеназванные источники информации, сделать фальшивку теперь сможет каждый.
«Все, что для этого нужно, это карт-ридер ценой 100 долларов и небольшая программка», — говорит он.
Руководствуясь приведенными в указанных публикациях инструкциями, любой сможет выкрасть секретный код карты оплаты проезда Mifare Classic и затем клонировать его.
Из демонстрации становится очевидно, что для кражи ключа достаточно лишь находится с карт-ридером рядом с человеком с такой карточкой в руках.
После этого собранные в ходе демонстрации данные были использованы для создания клона транспортной карты лондонского метрополитена.
Под подозрением также находятся системы оплата проезда в метро таких городов как Амстердам, Бостон, Бангкок и Дели, а также европейские системы допуска в помещения.
«И это только вершина айсберга», — говорит Эрик Йохансон, консультант одной из фирм в Сиэтле.
«По моим оценкам, в мире выпущено уже порядка 3,5 миллиардов карточек на основе этого протокола, и все находятся под угрозой совершения незаконных манипуляций.
В мире насчитывается, по крайней мере, около 60 крупных городских реализаций систем оплаты транспортных услуг на основе карт радиочастотной идентификации», — свидетельствует он.
В минувший понедельник производитель чипов, компания NXP, отказалась отвечать на заданные ей вопросы, а предпринятая ею попытка заблокировать публикацию компрометирующих сведений через суд провалилась.
Источник: www.xakep.ru
