Đài Loan gần đây đã bùng nổ một sự việc, một học sinh trung học 17 tuổi đã sử dụng trình đọc ghi NFC để thay đổi số dư thẻ Youyou, rút tiền hơn 40 lần trong vòng nửa năm, thu lợi bất hợp pháp gần 700.000 đồng. Sự việc này đã khiến lỗ hổng của MIFARE Classic, đã im lặng nhiều năm, lại nổi lên, buộc các cơ quan quản lý và cộng đồng an ninh mạng phải xem xét lại "vấn đề cũ" của cơ sở hạ tầng thanh toán.
MIFARE Classic đã bị phá vỡ từ lâu
Chuyên gia an ninh mạng Huli nhận thấy sự việc này, đã đăng bài viết cho biết giáo sư Trịnh Chấn Mưu của Đại học Đài Loan đã trình bày về việc phá vỡ thuật toán CRYPTO1 được sử dụng bởi MIFARE Classic tại buổi thuyết trình HITCON và CCC vào năm 2010 với tiêu đề 《Just Don't Say You Heard It From Me: MIFARE Classic IS Completely Broken》, đây cũng là thông số kỹ thuật của thẻ Youyou hiện tại, đã bị phá vỡ hoàn toàn cách đây 15 năm.
Lỗ hổng của mã hóa CRYPTO1, tấn công kênh bên (SPA, DPA) và công cụ mã nguồn mở Proxmark3 đã tạo thành "bộ ba", làm giảm đáng kể ngưỡng sao chép, thay đổi và nhân bản thẻ Youyou.
Chuyên gia Huli chỉ ra:
「Hồ sơ nạp tiền được lưu trữ ở phía máy chủ, cuối cùng số tiền không khớp sẽ bị phát hiện; rủi ro thực sự là chip quá dễ thay đổi, chi phí phát hiện và thực thi bị buộc phải thuê ngoài cho cảnh sát.」
Nhìn lại vụ án năm 2011 của một cố vấn an ninh mạng họ Ngô bị bắt khi mua hàng tại cửa hàng tiện lợi bằng thẻ Youyou, lúc đó cố vấn an ninh mạng này đã trực tiếp rút tiền mặt thông qua việc mua hàng, còn học sinh này lại sử dụng cơ chế hoàn tiền, 「Do sau khi hoàn tiền, công ty metro không trực tiếp yêu cầu thanh toán từ thẻ Youyou, do đó sẽ có khoảng thời gian chênh lệch, sẽ không bị phát hiện ngay lập tức. Theo báo chí, dường như mãi đến khi đối soát sau vài tháng mới phát hiện ra bất thường? Và số tiền lần này khá lớn, thậm chí lên đến hàng trăm nghìn.」 Nhưng về bản chất đều là sửa đổi dữ liệu ở phía thẻ.
Huli bổ sung: 「Thẻ Youyou phiên bản mới đã thay đổi công nghệ cơ bản, nhưng miễn là các thẻ cũ vẫn còn lưu thông trên thị trường, sẽ không thể triệt để ngăn chặn các sự việc tương tự. Nếu muốn giải quyết, có lẽ chỉ có thể thu hồi và loại bỏ tất cả các thẻ sử dụng hệ thống cũ?」
Phương thức thay đổi thẻ Youyou của học sinh trung học
Cảnh sát điều tra phát hiện, học sinh này đã mua trình đọc ghi NFC do Trung Quốc sản xuất trên internet, tự học cách sửa đổi trường số tiền trong chip thẻ Youyou, và liên tục ghi số tiền thẻ là 1000 đồng, sau đó đến ga metro để rút tiền, toàn bộ quá trình một chu kỳ không quá 3 phút.
Công ty Youyou phát hiện tình trạng bất thường qua đối soát hậu trường vào cuối năm 2024 và báo cảnh sát bắt học sinh này vào tháng 2 năm nay. Công ty Youyou cho biết đã tăng cường logic giám sát, nhưng do vụ việc đã vào quy trình tư pháp nên hiện tại không thuận tiện để tiết lộ thêm chi tiết.
Đọc thêm từ bên ngoài:
《Luận văn: Tấn công thẻ duy nhất của Mifare Classic》
《Thực chiến an ninh NFC - Lớp học của Hội Tin học Đại học Hưng》
