image

Nederlander maakt Android-app die paspoortchip kloont

woensdag 23 oktober 2013, 11:13 door Redactie, 14 reacties

De Nederlandse beveiligingsonderzoeker Jeroen van Beek heeft een Android-app gepubliceerd waarmee het mogelijk is om de inhoud van paspoortchips te lezen en klonen. eCL0WN, zoals de app heet, vereist een smartphone die NFC ondersteunt en over minimaal Android 2.3 beschikt.

Near field communication (NFC) wordt gebruikt voor het uitlezen van de paspoortchip. eCL0WN kan verschillende paspoortformaten uitlezen en de data naar een emulatorchip of interne opslag terugschrijven. Dat laatste is volgens Van Beek niet erg veilig om te doen. Een vroege versie van eCL0WN verscheen al in 2008, maar is nu ook voor Android geschikt gemaakt.

Paspoortchips

De onderzoeker laat op de Full-disclosure mailinglist weten dat van sommige Android-smartphones de antennekwaliteit erg slecht is, zoals bij de Google Nexus S, waardoor de smartphone niet met type B ePaspoortchips kan communiceren. Deze chips worden voornamelijk in Azië gebruikt. Type A ePaspoortchips zijn voornamelijk in West-Europa en de Verenigde Staten in gebruik. eCL0WN is via Google Play te downloaden.

Image

Reacties (14)
23-10-2013, 12:00 door Anoniem
And it works !
23-10-2013, 12:02 door Anoniem
Werkt prima. Grappig om een keer te zien. Was altijd al benieuwd hoe de gegevens encryptie sleutel was.
23-10-2013, 12:57 door Anoniem
Staat er nu al niet meer op...
23-10-2013, 14:57 door Preddie - Bijgewerkt: 23-10-2013, 14:57
Door Anoniem: Staat er nu al niet meer op...

Ja wel hoor...... maar let er op dat de O in clown een nul (0) is dus eCl0wn

Hier de link: https://play.google.com/store/search?q=ecl0wn&hl=nl

Ik krijg hem helaas niet werkend. Ik heb tegen de NFC passport reader en ook hiermee krijgt ik het niet werkend.

Bij eCl0wn blijft ik de foutmelding krijgen : BAC requierd..... failed
Ondanks dat het documentnummer, geboortedatum en verloopdatum juist heb ingegeven ...
23-10-2013, 16:02 door Anoniem
je moet hem er continue tegen aan houden hij moet ongeveer 30 sec lang wat binnen halen
23-10-2013, 16:21 door Anoniem
Leuk en het werkt geweldig
24-10-2013, 06:18 door Anoniem
Door Anoniem: And it works !

Tuurlijk werkt het uploaden van de data ;-)
24-10-2013, 09:16 door Anoniem
Onzin verhaal. De chip wordt niet gekloond. Alleen de publiek beschikbare data op de chip wordt getoond n kan worden gekopieerd naar de telefoon. De app kan deze info niet schrijven naar een chip waarmee je vervolgens langs de douane in Schiphol komt. Een uitdaging voor Jeroen van Beek: wanneer de app de op beveiligd op de chip opgeslagen vingereafdrukken kan laten zien, *dan* heb je een punt.
24-10-2013, 14:50 door Anoniem
Door Anoniem: Alleen de publiek beschikbare data op de chip wordt getoond n kan worden gekopieerd naar de telefoon.
Dus, uhm, die data is niet beveiligd. Maar wel radiografisch beschikbaar. En er zit geen afscherming in je paspoort (of identiteitskaart), dus dat is gewoon door je kleding heen te lezen.

Nu dan dus wachten tot iemand een opgepepte nfcmodule met high gain-antenne aan z'n telefoon knutselt. Gewoon, om te kijken hoe ver dat te doen is. Een paar meter moet wel lukken, gezien eerdere experimenten.
24-10-2013, 16:38 door Anoniem
Leuk verhaal, paspoort chips kopiëren. Je leest inderdaad alleen de publieke data en de screenshots laten zien welke beveiliging aan staat.. Maar daar kun je uiteindelijk niet veel kwaads mee uithalen, aangezien deze informatie ook elders te vinden is.

wel leuk dat het via nfc wordt uitgelezen. Zal vast een mooi toekomst perspectief hebben voor beveiligingsdiensten en politie, dus bedankt Jeroen.
24-10-2013, 21:18 door Anoniem
Het verzmelen van data met een high gain antenne kun je vergeten. Want jieder paspoort heeft z'n unieke toegangscode. Dus om de data op afstand uit te lezen moet je eerst de sleutel - die per paspoort uniek is - ook op afstand uitlezen. Maar dat staat allen geprint op het paspoort.
26-10-2013, 08:00 door Anoniem
Door Anoniem: Het verzmelen van data met een high gain antenne kun je vergeten. Want jieder paspoort heeft z'n unieke toegangscode. Dus om de data op afstand uit te lezen moet je eerst de sleutel - die per paspoort uniek is - ook op afstand uitlezen. Maar dat staat allen geprint op het paspoort.
Ik herinner me een TVuitzending uit 2005 waar gedemonstreerd werd dat die toegangscode vrij eenvoudig te kraken was. Iemand van de overheid stond erbij en keer ernaar, en kon alleen maar toegeven dat dit "een foutje" in de specificatie was en dat ze vanwege de internationale standaardisatie de gegevens van de eigen burgers maar te grabbel gooiden net zolang tot de standaardisators ertoe zouden komen dat gat te dichten. Vraag me af of dat ondertussen gebeurd is, en of dat dan ook gelijk in alle nieuwe paspoorten geimplementeerd geworden is, en of dat al meer dan 4 1/2 jaar geleden geweest is.
28-10-2013, 14:08 door Anoniem
Ook bij mij werkt hij helaas niet... Ik heb NFC aanstaan en heb hem er nu al 5 minuten tegenaan, maar hij doet niks, laad niks... er blijft maar staan Waiting for an ePassport... Ik heb alle gegevens goed ingevuld en meerdere keren gecontroleerd.. Op een Note II werkt het dus niet.. :(
08-04-2014, 11:20 door Anoniem
op S4 slimrom 4.4.2 werkt het naar behoren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.