¿Esta billetera con bloqueo de RFID es realmente segura?

Navega tus respuestas
4

Esta pregunta se basa en un experimento rápido que ejecuté al cuestionar la efectividad de mi billetera con bloqueo RFID ( éste ). En mi experimento, salí de mi oficina, coloqué mi tarjeta de identificación RFID en la billetera e intenté usar la billetera que contenía la tarjeta para abrir la puerta de la oficina. Para mi sorpresa, ¡la puerta se abrió sin problemas!

Mi pregunta es la siguiente: ¿la apertura de la puerta indica que esta billetera con bloqueo RFID no está haciendo su trabajo? Toco físicamente la billetera contra el lector para abrir la puerta, ¿así que la billetera solo reduce el alcance efectivo en el que se puede leer la tarjeta? Sin la billetera, la tarjeta también necesita una gran proximidad (dentro de unos pocos cm) al lector para abrir la puerta.

Editar: leyendo la respuesta aceptada de esta pregunta , se menciona que la frecuencia de RFID puede variar. ¿Sería razonable suponer que la diferencia en la frecuencia de operación entre una tarjeta de crédito y una tarjeta de identificación sería? ¿Lo suficientemente grande como para causar que la billetera ofusque una tarjeta de crédito pero no la identificación?

Editar # 2: volví a probar algunos experimentos más controlados basados en la respuesta de @Herringbone Cat y los comentarios de @AdamShostack a continuación. La variación de la orientación de la tarjeta no parece hacer ningún cambio. SIN EMBARGO, probé la distancia a la cual la tarjeta podía abrir la puerta y la encontré efectivamente a la mitad con el uso de la billetera.

En términos de frecuencia frente a potencia, no esperaría que la potencia fuera el problema aquí, ya que esta es una tarjeta pasiva (debería haber sido especificada anteriormente). Yo esperaría que un lector de RFID malicioso tuviera un poder arbitrario, y por lo tanto comparable al lector de la puerta como mínimo. Investigando más a fondo, sospecho que mi tarjeta de identificación es esta marca , que tiene una frecuencia de operación de 13.56MHz. Esta es la frecuencia de funcionamiento de las tarjetas de crédito también .

Dicho esto, reducir a la mitad el alcance que debe tener un lector respecto a la tarjeta puede ser un elemento disuasivo eficaz contra el robo de tarjetas RFID.

    
pregunta CaptainCalvert 11.10.2016 - 20:18
fuente

3 respuestas

4

Parece que esta billetera de bloqueo de RFID simplemente no forma una jaula de Faraday lo suficientemente fuerte, y una cantidad suficiente de potencia de RF puede simplemente pasar por la billetera de "bloqueo de RFID"; O no es un sello completo y simplemente da la vuelta. Esto significa que el producto probablemente fue mal hecho, y al menos claramente defectuoso.

RFID obedece la ley del cuadrado inverso

Las ondas de radio, como todas las demás formas de energía electromagnética, obedecen a ley del cuadrado inverso . Por lo tanto, mantenerlo cerca aumenta exponencialmente la capacidad de enviar / recibir radio del transmisor a la tarjeta. En este caso, sostenerlo más cerca le permite leerlo en la billetera ... lo que significa que la billetera está bloqueando las olas, pero no lo suficiente.

Frecuencia frente a potencia

Lo importante aquí no es necesariamente la frecuencia de funcionamiento de la tarjeta RFID, sino la cantidad de energía que utiliza el receptor / transmisor. Si se trata de una etiqueta pasiva, solo el receptor recibe alimentación, lo que significa que la billetera con bloqueo RFID sería más efectiva. Las etiquetas activas tienen una batería y su propio transmisor, y dependiendo de la frescura de esa batería y los componentes electrónicos en su interior pueden generar una señal mucho más fuerte que otras tarjetas RFID.

La mayoría de las tarjetas RFID en estos días son HF / UHF, y LF rara vez se utiliza. Las tarjetas UHF / HF RFID funcionarán a un rango mucho mayor = que las tarjetas de baja frecuencia. Sin embargo, las tarjetas de crédito suelen ser pasivas mientras las etiquetas de las puertas están activas ... lo que probablemente explica más la experiencia aquí que la diferencia de frecuencia.

Los receptores RFID de alta potencia (como los que se usan para piratear) pueden escanear tarjetas RFID de forma remota a distancias de hasta 10 metros.

Recorriendo el blindaje

En el caso de carteras de "bloqueo" RFID mal diseñadas, a menudo hay espacio para que las ondas de radio omnidireccionales se filtren esencialmente de la cartera a través de un pliegue. Esto se debe a que no está 100% sellado y, como tal, no es una verdadera jaula de Faraday. Por el contrario, un contenedor de estaño Altoids normalmente puede bloquear el 100% de los intentos de leer las tarjetas RFID que se mantienen dentro ... si se mantiene cerrada, una vez que la tapa está abierta o incluso abierta, se puede leer la tarjeta.

Por lo tanto, para vencer los hacks basados en lectura RFID, necesitará una billetera con bloqueo RFID que forme una jaula de Faraday lo suficientemente fuerte (lo suficientemente gruesa como para atenuar RFID HF) y con suficiente aislamiento y sellado para evitar que la lea. lectores de alta potencia.

    
respondido por el Herringbone Cat 11.10.2016 - 20:43
fuente
0

Capitán Calvert, este video muestra cómo el blindaje reduce el rango de lectura de manera muy efectiva, puede que no tenga su billetera, pero demuestra visiblemente la reducción en el rango de lectura y compara diferentes productos de blindaje. enlace

    
respondido por el Joanna wlizlo 23.02.2018 - 20:30
fuente
0

Versión corta: pruebe su experimento utilizando inlays de 13.56mHz para ver qué tan bien bloquea su billetera la RFID de 13.56mHz.

Es posible que haya configurado un experimento deficiente si desea determinar qué tan bien su billetera bloquea las señales de las tarjetas de pago.

  

Editar: al leer la respuesta aceptada de esta pregunta, se menciona que la frecuencia de RFID puede variar. ¿Sería razonable suponer que la diferencia en la frecuencia operativa entre una tarjeta de crédito y una tarjeta de identificación sería lo suficientemente grande como para causar una tarjeta de crédito pero no? ¿La tarjeta de identificación debe estar ofuscada por la billetera?

Hay diferencias marcadas en cómo funcionan los diferentes tipos (UHF / HF / LF) de los transpondedores RFID. Por ejemplo, la mayoría de las incrustaciones pasivas de ultra alta frecuencia (UHF) no apantalladas se vuelven completamente inútiles cuando están en contacto con superficies metálicas, mientras que las incrustaciones de alta frecuencia (HF, creo que NFC) prácticamente no se ven afectadas. Las inlays UHF típicas también tienden a construirse para ser altamente direccionales, mientras que las HF tienden a ser omnidireccionales. No todas estas diferencias se deben al rango de frecuencia utilizado, sino que algunos son fabricantes de diferencias (que usan rangos de frecuencia para agrupar sus productos).

La mayoría de los sistemas de control de acceso que he usado estaban en el rango de baja frecuencia (LF) del espectro (al igual que muchos productos HID).

  

Sospecho que mi tarjeta de identificación es esta marca, que tiene una frecuencia de operación de 13.56MHz

La página que vinculó es la documentación de la línea de tarjetas / lectores HID de 125 kHz, que se utiliza con mucha frecuencia para el control de acceso y también LF RFID, a diferencia de los 13.56 MHz que se indica correctamente y que se utiliza para el pago . Este es un ítem subóptimo para probar qué tan bien bloquea su billetera HF (13.56mHz) debido a las posibles diferencias en la forma en que funcionan los transpondedores RFID HF y LF.

Le sugiero que pruebe su experimento con una tarjeta de pago inalámbrica y un quiosco para obtener datos más útiles. Como alternativa, puede intentar usar un teléfono desde hace unos meses (escrito a finales de 2018), incluso los dispositivos iOS tienen sus lectores NFC habilitados, por lo que debería poder encontrar una aplicación que le permita a usted leer las incrustaciones de NFC (HF RFID). Si tiene problemas para obtener una tarjeta para leer (existen medidas de seguridad que evitarán que responda un transpondedor RFID, no estoy familiarizado con el uso de los sistemas de pago), puede intentar obtener un pase de tránsito inalámbrico como una tarjeta de prueba si está disponible. La mayoría de las tarjetas de bus / ferrocarril que tienen capacidad inalámbrica dependen de la tecnología NFC (HF RFID) y serían las pruebas más adecuadas. En ese caso, puede comprar inlays NFC a precios relativamente bajos (tal vez unos pocos USD por línea).

Es muy posible que tu billetera no haga su trabajo, pero si quieres estar seguro de que deberías recopilar mejores datos.

EDICION

: referencia para respaldar mis afirmaciones por encima de que 125kHz / 13.56mHz son LF / HF respectivamente.

    
respondido por el user8675309 01.11.2018 - 17:27
fuente

Lea otras preguntas en las etiquetas

Metodología WIFI Pentest ¿Cómo asegurar un enrutador / módem? [cerrado]