NFC is overal, van elektronische toegangsbewijzen tot en met OV-kaarten. De ChameleonMini emuleert NFC-kaarten en kan slordige controles aftroeven.
De via Kickstarter gefinancierde ChameleonMini (RevG) van Kasper&Oswald is een veelzijdig hulpmiddel voor NFC-hacking. Zoals de naam al suggereert, gaat het hoofdzakelijk om het nabootsen van NFC-tokens en -kaarten. Hij kan echter ook tokens lezen en draadloze NFC-communicatie opnemen (sniffen). Het apparaat kan overweg met NFC volgens ISO 14443 en ISO 15693. Dat wordt onder andere gebruikt door de nog steeds veel gebruikte Mifare-Classic-tags.
De ChameleonMini is handzaam en dankzij de ingebouwde accu erg geschikt voor mobiel gebruik. Een bijzonder praktische functie is het klonen van een token op basis van het unieke serienummer (UID), waar elke tag over beschikt. Een pentester kan zo bijvoorbeeld ‘in het voorbijgaan’ een kaart uitlezen en vervolgens met de ChameleonMini emuleren. Juist systemen voor toegangscontrole, die vaak uitsluitend werken met het serienummer, zijn op die manier makkelijk voor de gek te houden.
Alle functies zijn via een seriële console in te stellen, die het apparaat via usb beschikbaar stelt. Als je dat niet fijn vindt werken, kun je gebruik maken van een door de community ontwikkelde grafische interface. Om met behulp van een mobiele telefoon een groot aantal kaarten te beheren, is er de Android-app Walrus. Om die app te gebruiken, sluit je de Chameleon via usb aan op de smartphone.
Omdat niet alleen de software, maar ook de printplaatlay-out opensource is, vind je op internet allerlei varianten zoals de RevE en de RevE Rebooted. De mogelijkheden zijn meestal vergelijkbaar. Het apparaat wordt als kale (maar wel gebruiksklare) printplaat verkocht voor circa 90 euro, maar tegen meerprijs ook met een plastic behuizing.
Hacking gadget | |
ChameleonMini, Kasper & Oswald | |
Fabrikant | Kasper&Oswald |
Doelwitten | NFC |
Shoplink en prijs | Chameleon Mini, circa 90 euro |