Разработчики: | Shanghai Fudan Microelectronics |
Отрасли: | Электротехника и микроэлектроника |
2024: Выявление критической дыры
В середине августа 2024 года французская фирма Quarkslab обнаружила критичски значимую дыру в миллионах бесконтактных карт, выпущенных Shanghai Fudan Microelectronics Group, ведущим производителем микросхем в Китае. Этот бэкдор, описанный исследователем Quarkslab Филиппом Тьювеном, позволяет мгновенно клонировать RFID-карты, благодаря чему любой хакер может открывать двери офисов и гостиничных номеров по всему миру.
Тьювен рассказал, что обнаружил уязвимость во время экспериментов с семейством карт MIFARE Classic, которое широко используется в общественном транспорте и гостиничном бизнесе. Семейство карт MIFARE Classic широко используется по всему миру и часто становилось жертвой кибератак. Особые опасения вызывают уязвимости, при которых хакеру требуется доступ только к карте, без взаимодействия со считывателем, поскольку это позволяет злоумышленникам клонировать карты или считывать и записывать их содержимое, просто посидев рядом в течение нескольких минут.
В 2020 году Shanghai Fudan Microelectronics выпустила свою карту MIFARE Classic с защитой от известных на тот момент вариантов атак без считывателя, что позволило компании постепенно завоевать значимую долю рынка во всем мире. Однако Тьювен показал, что ключи FM11RF08S можно взломать всего за несколько минут, если их используют повторно как минимум в трех секторах или на трех картах. В ходе эксперимента Тьювен «взломал» секретный ключ и обнаружил, что он является общим для всех существующих карт FM11RF08S. Quarkslab призвал потребителей как можно скорее проверить свою инфраструктуру и оценить риски взлома, учитывая, что такие карты не ограничиваются китайским рынком и встречаются во многих отелях США, Европы и Индии.[1]