El agujero de seguridad afecta a tarjetas y chips NXP1 más antiguos producidos por la empresa Shanghai Fudan Microelectronics.
Petteri Paalasmaa
Las tarjetas sin contacto se han vuelto más comunes en Finlandia, pero se ha revelado un riesgo significativo para la seguridad de los datos en los equipos asociados con la marca Mifare Classic. sobre eso dice empresa de ciberseguridad Quarkslab.
MIFARE es un chip IC común en tarjetas de pago y de viaje. La tecnología se ha utilizado en Finlandia en las tarjetas de viaje HSL. HSL dijo en el anuncio de adquisición realizado en 2022, que sus tarjetas han utilizado tecnología Mifare DESFire y Mifare Ultralight.
El agujero de seguridad afecta al chip FM11RF08S. El chip fue lanzado por un fabricante chino de chips sin licencia «compatibles con Mifare». Microelectrónica de Shanghai Fudan. Quarkslab logró encontrar la clave de cifrado del chip a través de una puerta trasera que permite a los atacantes secuestrar la tarjeta para su propio uso.
En la generación anterior del chip, FM11RF08, se ha observado un puerto trasero similar protegido con una clave de seguridad diferente. El backport se ha detectado en tarjetas que datan al menos de noviembre de 2007. Otra clave de cifrado encontrada por Quarkslab es común a muchas tarjetas diferentes, como las tarjetas antiguas de NXP1 (MF1ICS5003 y MF1ICS5004) e Infineon (SLE66R35).
El agujero de seguridad es particularmente problemático porque los chips MIFARE Classic utilizados por muchos pueden ser en realidad chips FM11RF08S. Quarkslab destaca que muchas organizaciones pueden, sin saberlo, recibir los chips en cuestión de sus proveedores en lugar de chips MIFARE. La empresa ha observado el uso de chips, por ejemplo, en hoteles de Europa.
Mikrobitti se puso en contacto con las comunicaciones de HSL para preguntar si los chips FM11RF08S o FM11RF08 también se utilizan en las tarjetas de viaje de HSL.
– Estamos monitoreando activamente la situación y confiando en la última tecnología disponible, respondieron las comunicaciones de HSL a Mikrobit por correo electrónico.