趨勢科技最近偵測 ANDROIDOS_STIP.A的高風險 Android 應用程式。這個應用程式透過論壇和部落格散播,可以用來駭入使用者的 RFID ( Radio Frequency IDentification -感應式電子晶片)公車卡加以儲值。這背後的機制是什麼,RFID 支付卡的一般安全風險是什麼?
如今透過 RFID 卡來進行支付變得越來越受歡迎,也有更多行動裝置加入NFC(Near Field Communication,近距離無線通訊)支援。銀行、商家或公共服務都會發行RFID卡給他們的客戶,並且可以儲值。
注意:下文中所討論的惡意軟體樣本不能從 Google Play 商店取得。
RFID卡的安全問題
由於它被廣泛的使用,所以RFID卡成為攻擊目標也就毫不奇怪。比方說最近智利的Tarjeta bip!卡被駭事件。這些卡是基於MIFARE的智慧卡;MIFARE指的是被廣泛用在非接觸式智慧卡和感應卡的晶片家族。
圖1、MIFARE設備
檢視 Android 應用程式的程式碼,趨勢科技發現如果它在配有 NFC 的設備上執行,它可以讀取和寫入這些卡片。惡意應用程式將預先定義好的資料寫入卡片,將使用者的餘額提高到一萬智利比索(約15美元)。此作法只對這一特定卡片有用,因為它依賴於有問題卡片的格式。
該工具作者如何去改寫卡片資料而無須正確的驗證金鑰?這是因為這些卡片是基於舊版的 MIFARE系列(MIFARE Classic),它已知有許多安全上的問題。攻擊者可以在10秒內複製或修改 MIFARE Classic 卡片,而使用設備(如 Proxmark3)及任何所需支援都可以在網路上買到。
圖2、Proxmark3出售中