Tag: nfc

Piotr Rzeszut opisuje jak w prosty sposób można obezwładnić system kontroli dostępu bazujący na kartach MIFARE. Badacze znaleźli backdoor – zaszyty klucz w kartach pochodzących od jednego z producentów tańszych zamienników tych urządzeń.

Całość procedury jest dość prosta: odczyt bezprzewodowy dowolnej karty, modyfikacja odpowiednich parametrów, zapis bezprzewodowy na nową kartę (która otwiera wszystko w danym hotelu). Podatność występuje w systemie Saflok szwajcarskiego producenta Dormakaba, a badacze wskazuję że podatnych jest „ponad 3 miliony zamków/drzwi hotelowych w 131 krajach” Pewne szczegóły zostały opublikowane tutaj…

Nowa paczka łatek przynosi nam korektę paru podatności zaklasyfikowanych jako Critical RCE. Jeden z nich to wykonanie kodu na urządzeniu (Android 8,9,10) poprzez NFC: If succesfuly exploited, an attacker within NFC range could obtain remote code execution on android device’s NFC daemon. Badacz do testów wykorzystał telefon Pixel3a oraz Proxmark…

Ciekawe rozwiązanie, które będzie testowane na produkcji (realni klienci, realne środku, realne terminale) w jednym z brytyjskich banków. Rozwiązanie wygląda podobnie jak np. Apple Pay powiązane z telefonem, który ma czytnik biometryczny (wybieram płatność, potwierdzam za pomocą skanu palca lub Face ID, przykładam urządzenie do terminala (NFC), płatność zakończona. Tylko……

W największym skrócie chodzi o sytuację, gdy mamy realny terminal kartowy w sklepie + ofiara (z kartą bezprzewodową) znajduje się od niego w pewnej odległości. Atakujący przykłada urządzenie w pobliże karty, po czym w czasie rzeczywistym inicjuje realizację płatności do prawdziwego terminala. Czyli relay płatności – podobnie jak dzięki relay…

Poszukiwania ogłosiła policja z Gdańska, a info publikuje radio Eska: Włamała się na konto bankowe i ukradła kilkaset złotych. Policjanci poszukują kobiety, która mogła mieć związek ze sprawą. Wizerunek podejrzanej publikujemy w naszym artykule. O co dokładniej chodzi? W tekście mamy raczej dość skąpe informacje: Sprawca włamania dokonał wielu transakcji…

TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite. Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem: Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:…

Niskokosztowa, programowalna karta chipowa działająca w technologiach NFC / RFID. Idealna do pentestów tego typu systemów.