Das neue Parkhaus in der 4th Street ist jetzt vollständig geöffnet
Mar 07, 2023Die Marktgröße für automatische Fahrgeldeinzugssysteme wird bis 2031 voraussichtlich 21,81 Milliarden US-Dollar erreichen und mit einer durchschnittlichen jährlichen Wachstumsrate von 11,20 % wachsen: Straits Research
Mar 09, 2023Twitter ist weniger exklusiv als ein Fanclub
Mar 11, 2023So melden Sie sich für eine Prime-Mitgliedschaft an
Mar 13, 2023Willst du klar? Diese 3 Karten decken den jährlichen Mitgliedsbeitrag von 189 $
Mar 15, 2023Der ChameleonMini ist ein Skelettschlüssel für RFID
Von Chris Person
Wenn Sie etwas über einen Verge-Link kaufen, erhält Vox Media möglicherweise eine Provision. Sehen Sie sich unsere Ethik-Erklärung an.
Ich wollte schon immer einen Dietschlüssel haben – keinen echten, aber die Art, die man in einem Cartoon sieht und die jede Tür sofort öffnet. Die Idee, einfach überall problemlos und diskret hineinschlüpfen zu können, war schon immer ein heimlicher Traum für mich.
Natürlich ändert sich die Zeit und damit auch die Schlüssel. Für Ihre Haustür wird möglicherweise immer noch ein Metallschlüssel verwendet, aber in Büros und Industrieanlagen wird eher eine Art drahtloser Schlüsselkarte verwendet, sei es NFC, RFID oder ein anderes Funksignal. Wie sieht also ein antippbarer Skelettschlüssel aus?
Der ChameleonMini ist ein Tool, mit dem Sie kontaktlose Hochfrequenzkarten emulieren und klonen und RFID-Tags lesen können. Es fungiert als NFC-Emulator und RFID-Leser und kann Radiofrequenzdaten (RF) abhören und protokollieren. Aus der Ferne sieht es ein wenig wie eine Kreditkarte aus, obwohl es mehrere Formfaktoren gibt. Sie können es eigenständig verwenden oder das Gerät über Bluetooth mit Ihrem Telefon verbinden und eine der vielen Chameleon-Apps verwenden, um Penetrationstests auf Ihren eigenen Systemen durchzuführen.
Ein NFC-Emulator und RFID-Leser
Wenn Sie den Schlüsselanhänger eines Mitarbeiters zur Hand haben, können Sie eine funktionsfähige Nachbildung des Schlüsselanhängers anfertigen, die Sie überall hin bringt, wo das Original hinkommt – zusammen mit ein paar komplizierteren Tricks, auf die wir später noch eingehen werden.
Das Gerät wurde 2013 als Open-Source-Projekt auf GitHub gestartet, daher gibt es eine Reihe von Versionen. Der Revision G ist unsere Lieblingsversion, die KAOS bereits 2016 erfolgreich auf den Markt gebracht hat. Er wird von einem wiederaufladbaren Akku betrieben und ist in mehreren tollen Farben erhältlich.
Eine Firma namens Proxmark bietet auch zwei Miniaturmodelle an: das Chameleon Tiny und das Chameleon Tiny Pro. Der Formfaktor des Chameleon Tiny ist so klein, dass er an einen Schlüsselbund passt, ähnlich wie ein Schlüsselanhänger, und der Chameleon Tiny Pro verfügt über Bluetooth Low Energy, wodurch er schnell mit Apps auf Android und iOS kommunizieren kann.
Der ChameleonMini kann Informationen von Kartenschlüsseln und Schlüsselanhängern extrahieren, einschließlich des Klonens der UID und der Speicherung der Daten für später. Kartenschlüssel sind die offensichtlichste Verwendung, aber die Tricks hören hier nicht auf: Das Chameleon kann auch zum Angriff auf RFID-Lesegeräte verwendet werden, indem ein MFKey32-Angriff ausgeführt wird. Sie können damit auch nach Schlüsseln schnüffeln und sie knacken. Beachten Sie jedoch, dass Sie sich in ziemlich geringer Entfernung befinden müssen, damit das funktioniert.
Entscheidend ist, dass das Chameleon nicht wie der Proxmark3 und der Flipper Zero mit Niederfrequenz-RFID-Karten funktioniert, aber es gibt online viele günstige Geräte mit dieser Funktionalität, wenn Sie Ihre Grundlagen wirklich abdecken möchten.
Wenn Ihr Sicherheitssystem RF-Signale verwendet, stellt diese Art von Angriff eine erhebliche Bedrohung dar. Der ChameleonMini ist ein weniger leistungsfähiges Werkzeug als andere Geräte in dieser Kategorie wie der Proxmark3 (bei weitem das beliebteste) oder der ICopy-X (der auf dem Proxmark3 aufbaut). Aber es ist auch einfacher zu verwenden, unauffällig und kann zusammen mit diesen Tools für einen effizienteren Hack verwendet werden.
Sie können es sogar verwenden, um Amiibos zu klonen (sozusagen)
Bei Amazon gibt es noch einfachere Tools für weniger als 30 US-Dollar, mit denen Sie überraschend weit kommen können. Darüber hinaus gibt es Unmengen alter, veralteter Schlüsselkartensysteme, die aus Faulheit oder Unwissenheit nicht auf den neuesten Stand der Technik gebracht wurden. Wie bei den meisten Hackerangriffen kann das einfachste Tool manchmal das effektivste sein.
RFID-Projekte wie dieses und den Proxmark3 gibt es schon seit einiger Zeit, und es gibt viel Open-Source-Unterstützung für das Gerät – größtenteils dank Mitwirkenden wie dem produktiven Iceman. Die Karte unterstützt die Emulation mehrerer NFC-Chipsätze, einschließlich einer breiten Palette von Mifare-Karten und Codecs. Es kann auch verwendet werden, um einen MFKey32-Angriff auszuführen und begrenztes Sniffing, Cracking und Logging durchzuführen.
Verdammt, Sie können es sogar zum Klonen von Amiibos verwenden (was inkonsistent ist, wenn Sie eine abgespaltene Version der Firmware verwenden).
Hängt davon ab, wie geschickt Sie sind, aber ich würde sagen: wahrscheinlich. Es gibt mehrere Apps für die Chameleon-Gerätefamilie, die recht einfach zu bedienen sind, darunter diese von der RFID Research Group, und mit denen Sie das Gerät unterwegs von Ihrem Telefon aus steuern können. Darüber hinaus gibt es einige recht gute Online-Tutorials, darunter diesen ausführlichen Crashkurs auf GitHub. Im Pantheon der Hacking-Geräte ist das Chameleon eines der zugänglicheren Geräte auf dem Markt für Neulinge und angehende Hacker.
Unglücklicherweise ist die Verwendung des Chameleon für meinen Traum von einem universellen Hauptschlüssel viel komplizierter, als nur damit an einer Tür herumzuschwenken und sie wie von Zauberhand öffnen zu lassen. Um es effektiv nutzen zu können, bedarf es einer ordentlichen Portion Know-how und Strategie. Sie sollten also bereit sein, sich über die verschiedenen Standards für kontaktlose und Proximity-Karten zu informieren. Das macht es aber auch zum perfekten Tool für Leute, die sich mit den Grundlagen der Sicherheit vertraut machen möchten, denn es ermöglicht Ihnen, Ihre eigenen Penetrationstests durchzuführen und die Schwachstellen in Ihren Sicherheitssystemen zu finden.
/ Melden Sie sich für Verge Deals an, um täglich Angebote für von uns getestete Produkte in Ihrem Posteingang zu erhalten.