Dangerous Things

前幾年在網路上看到了一個很酷的網站 DangeriousThings ，創辦人 Amal Graafstra 研究了很多關於 RFID 的東西，他開發出一種可以藏到皮下的 RFID 植入物，就跟動物一樣，可以在皮下安裝一個小晶片，用 RFID / NFC 的讀卡器讀取，就不用帶卡出門了?

當時開發出來的植入物有不少

• Mifare Classic / DESFire / Ultralight / NTAG 等 13.56 MHz 晶片
• Tesla 車鑰匙
• EM4100 等 125 KHz 的晶片
• LED 燈
• 磁鐵

就還是覺得少了些什麼，但我覺得 LED 跟磁鐵蠻帥的

Vivokey

就在去年的時候，Vivokey 正式發布了一款基於 Fidesmo 平台的的 JavaCard 植入物，也同時推出純 JavaCard 的版本 flexSecure。

Vivokey Apex

Apex 是一個基於 Fidesmo 平台的植入物，就像是 JavaCard 的 AppStore，可以用 Fidesmo 的 App 或是 fdsm.jar 對卡片安裝 Applets

目前 Apex 在 Fidesmo 上提供

• Tesla Key Card
• NDEF Sharing
• SmartPGP
• TOTP Authenticator
• FIDO WebAuthn
• HMAC SHA-1 Generator
• Status.im 錢包
• Satochip 錢包

WebAuthn 跟 Tesla 車鑰匙是我最想玩的兩個功能，誰出門還會帶鑰匙跟 Authenticator，對吧

當我看到 Apex 終於正式推出之後，我就開始找方法把 Apex 塞進手手裡

Vivokey.jp

在台灣要找到醫生幫忙塞手手總覺得就不容易，所以就開始往國外找，不知道為啥國外的醫生都蠻敢搞這些東西的
就這麼剛好，Vivokey在日本開了分公司，不然去買美國或歐洲的機票直接讓我破產

在 2022 年底的時候，找死的我就問了他們的粉專，結果是找不到醫生可以做手術

然後在 2023 年底，看到粉專貼了一篇貼文，說目前可以植入手術了，我又馬上問粉專，這次終於有了醫生，而且還在東京市區內!!

確認好訂購時間需要的時間跟地點，就開始找去日本玩的時間

付錢

1月底的時候，決定了3月底要去東京的行程，機票真他媽貴到爆，就開始跟 Vivokey 訂購晶片

結果搞付款這件事情，搞了整整三天，還讓他們為了我去開通 Stripe 就為了讓我付錢，畢竟外國人沒辦法用日本國內轉帳，他們配合的銀行還不能 SWIFT 匯款，超感謝他們的

晶片們

最後想了很久，決定訂了 2 個，分別裝在左右手

• 左手 Mifare Classic Magic Gen2
• 右手 Vivokey Apex

Mifare Classic (M1) Magic

目前市面上有兩種 Mifare Classic 複製卡

• Gen 1
  • 被稱為 Chinese Magic Card，鑰匙店賣的就是這種，淘寶一張 NT$10 不到
  • 擁有後門，需要用 PN5xx 系列的讀卡機或是 Proxmark 3 解開
    • ACR122U / PN532 + Arduino 都可以
    • 需要一個特殊的指令，卡片就會直接解鎖，讓你隨便寫卡，連密碼都不用
  • UID 所在的 Sector 0 是可以寫入的
  • 不用擔心卡片被寫壞，因為後門開了就隨便寫
  • 現在不少門禁機都會先嘗試開後門，如果後門啟動成功，就直接拒絕卡片
• Gen 2
  • 跟一般的 Mifare Classic 卡片一模一樣，只差在 Sector 0 沒有鎖定只讀
  • Android 手機就可以寫入
  • 沒有後門跟漏洞，權限控制寫爛了或是忘記密碼，卡就廢了

剛剛好 Amal 開發了新的 flexM1 Gen 2，用了新的軟性 PCB 板，就決定是他了

塞進去

診所

約好了時間，選在日本行的最後一天，前一天還去搭了直升機去看富士山，真的美到炸掉
診所位在東京的大田區，但最後發現只是一間小套房，拿來護膚按摩的那種

醫生是專門做心臟外科手術的，想必他對塞手手這種小手術嗤之以鼻，旁邊跟了一個護理師，不得不說，那個護理師是我這次日本行中見過最漂亮的女生，真心不騙

從捷運站出來後，就在出口上方的大樓裡

塞手手

進去之後，醫生先帶我去洗手，讓我看了準備塞進手裡的兩顆晶片，兩個人就用很簡單的日文開始協調要裝哪，要不要打麻藥之類的(怎麼可能不用)，然後示意我躺下

左手

醫生先抽了一大管生理食鹽水跟一些麻醉藥，說了一句，はじまる，就直接從虎口戳進去，第一針有夠痛，之後手就不痛了，還好沒被拖去割腰子XD

之後醫生使用一隻金屬棒，開始把皮跟脂肪分開，弄出一個小洞剛好可以放進晶片，我看他戳得滿頭大汗
我: How is it?
醫: Your hand is soooo hard to separate.
最後搞了一陣子，晶片被放了進去又拿出來，醫生直接拿剪刀出來把洞撐開，把晶片塞進去，最後縫起來，只縫了 2 針，也沒流多少血，整個過程大概5分鐘，就只有感覺手被戳，一點痛都沒有

• 戳戳樂
  
• 怒塞
  

右手

醫生又抽了一大管生理食鹽水跟一些麻醉藥，又說了一句，はじまる，又直接從虎口戳進去，也是有夠痛，之後手有不痛了
但這次醫生直接用剪刀直接分開皮下，所以這次速度超級快，3分鐘就結束了，縫了 3 針，也是沒任何感覺，最後醫生縫完還說了かんぺき，一臉爽樣

離開診所

醫生只告知說，一天內不要讓傷口碰到水，如果會痛就吃止痛藥，因為傷口很小所以大概明天就可以碰水了

回家

結果我都沒吃止痛藥，因為真的沒啥感覺，痛也是手摸到傷口，說有的異物感已沒啥感覺

Day 1

Day 3

Day 7

Day 10

Day 15

其實恢復蠻快的，可能那個醫生真的懂縫

心得

這幾天用下來的感覺，有優點也有缺點

左手 M1

• 距離還行，要找一下角度
• 可以直接用 Android 換 UID 真的超級方便
  • 直接寫了一個 Mifare UID Changer
• 某些垃圾讀卡機就是讀不到，畢竟天線的大小就那樣
  • 訂了 13.56 MHz 放大器還沒到
  • 真的就是那家廠商做的就是不行
• 大部分的門禁機都可以感應的到
• 回家開門連手機都不用拿，有時候比指紋還快

右手 Apex

• 容量不大，裝了 Tesla Key + Wallet + FIDO + HMAC Generator 就沒啥空間了，本來還想放一個 SmartPGP 就放不下
• 不好感應，Amal 說是因為新的 JavaCard 晶片容量跟 RAM 都比較大，所以比較吃電，也要抓一下角度
• 開 Tesla 車鎖要運氣，B 柱感應 10 次能成功 7 次，中控台都能成功
• 手機感應沒問題，也是要找一下天線位置
• 不用帶 Authenticator 真的超方便，Passkey 也能用
  • 比打開 Authy 複製 OTP 再去貼上還要快，還能避免 Chrome 被清掉
• Apex Manager 沒有開源，想 Contribute 也沒辦法

整體來說，真的是滿意至極，害我還想去搞一個 LED 跟磁鐵

實測

開門

Tesla 開門

幫車車充電

最近在做一些 Flutter App 的 PT，需要攔截 App 到 Backend 的要求，取得 API List或修改 Request / Response。

在 Android 6.0 以前，要攔截 App 的 HTTP 要求，只需要於Wi-Fi 設定中，將 Proxy 指向 BurpSuite / Fiddler / Charles，安裝 Debugging Proxy 的 CA 憑證，就能成功抓包了。

但是在 Android 7.0 之後，增加了 App Network Security，就像 Certificate Pinning 一樣，如果沒有指定允許的 CA 在 network_security_config.xml 中，Android 就不會讓網路流量經過 Proxy。
有位大神寫了一個自動化工具放在 Github 上，解包 APK 後，塞入允許所有 CA 的 network_security_config.xml ，流量就能被 Proxy 接收了。

Flutter 的 App 就不一樣了，Flutter 用了自己的 Runtime Engine 去執行 dart bytecode ，所以在 apk 裡的 lib 資料夾中，每個 arch 都會各自平台的 libfultter.so 去執行 kernel_blob.bin(Non-Release Mode) / libapp.so(Release Mode)。
如果 apk 是 Debug Mode ，可以直接從 kernel_blob.bin 裡去還原程式碼，Release Mode 就沒辦法了。

Flutter 使用了 BoringSSL 套件去建立 TLS 連線，原始碼可以在 Flutter 官方的 repo 裡面找到。

所以為了攔截 Release App 的 HTTP Request，有幾件事情要完成：

1. 攔截 App 的流量，導向到 Debugging Proxy
2. Bypass Flutter 的 CA 憑證檢查
3. Resquest / Response 改起來

1. 攔截 App 的流量，導向到 Debugging Proxy

有分為 Rooted 跟 Non-Rooted 的方法：

• Rooted
  • iptables
    • 太麻煩了
  • ProxyDroid
    • 自動產生 iptables 指令套用，簡單
• Non-Rooted
  這部分適合 Android 版本比較高的狀況，畢竟現在手機 Root 之後少了一堆功能。
  • VPN2SOCK
    • 用 tun2sock + VPN 攔截流量
    • 自己寫的 PoC，還有滿滿的 Bug
• Android 模擬器
  • LDPlayer
    • 有內建 Root / ADB
    • 有 Android 5.1 / 7.1 可選
    • 我是用這個啦，用 Android 5.1 版的，直接開 ProxyDroid就好

2. Bypass Flutter 的 CA 憑證檢查

根據這篇的錯誤訊息(不知道為什麼我的 App 沒出現 Exception)，Flutter 的 TLS handshake failed 出現在 handshake.cc 的 352 行，原因是 CERTIFICATE_VERIFY_FAILED。

查看 handshake.cc 的原始碼，發現 flutter 取得 session_verify_cert_chain 回傳的 boolean，來判斷檢查憑證是否合法。
那就讓 session_verify_cert_chain 永遠回傳 true 就好了。

找了一下，發現 session_verify_cert_chain 位在 ssl_x509.cc:362 ，在 ssl_x509.cc:391 跟 ssl_x509.cc:411 有 2 處 return false，把這兩個地方 patch 成 return true 就好了!!

libfultter.so @ armeabi-v7a

• 就是 32 bits 的 ARM
• 如果懶惰的話，只要 patch 這個 Arch 就好，大多數的手機(arm64, x86, x86_64)為了相容性都有放 ARM 32 bits 的 runtime，LDPlayer 跟我的 S10 也有，x86 的就當作練習吧。

先用 Ghidra 打開 lib/armeabi-v7a/libflutter.so。
為了找到 session_verify_cert_chain，看了一下 Source，這個方法有 3 個 input，也有個 macro OPENSSL_PUT_ERROR 用來印出錯誤訊息，定義在 err.h:422，會讓錯誤訊息顯示出檔名跟行數，所以就在 Ghidra 中尋找 ssl_x509.cc 這個字串，找 xrefs 的 function 並且是 3 個 input 的就是了。

Ghidra -> Search -> Program Text，搜尋 ssl_x509.cc。
有 7 個 xrefs

在 FUN_012c68b4 中，看到有3個 input，一個 FUN_0127d008 (OPENSSL_PUT_ERROR) ，OPENSSL_PUT_ERROR，Line Number 0x186 = 390 也是在 session_verify_cert_chain 裡面。

點一下第 14 行的 return 0 就會定位到 function 的結尾。

                             LAB_012c696c
        012c696c 00  24           mov        r4,#0x0         // Line #18 return 0;
        012c696e 0d  e0           b          LAB_012c698c
                             LAB_012c6970

        012c6970 4f  f4  c3  70   mov.w      r0,#0x186
        012c6974 00  21           mov        r1,#0x0
        012c6976 00  90           str        r0,[sp,#0x0 ]
        012c6978 10  20           mov        r0,#0x10
        012c697a 15  4b           ldr        r3,[DAT_012c69d0 ]                               = FEE39C79h
        012c697c 0b  22           mov        r2,#0xb
        012c697e 00  24           mov        r4,#0x0        // Line #62 uVar4 = 0;
        012c6980 7b  44           add        r3=>s_...
        012c6982 b6  f7  41  fb    bl         FUN_0127d008  // OPENSSL_PUT_ERROR 

                             LAB_012c6986
        012c6986 03  a8           add        r0,sp,#0xc
        012c6988 d8  f7  ce  fc    bl         FUN_0129f328

                             LAB_012c698c                   // return
        012c698c 20  46           mov        r0,r4
        012c698e 23  b0           add        sp,#0x8c
        012c6990 bd  e8  f0  8f   pop.w      { r4, r5, r6, r7, r8, r9, r10 , r11 , pc }

只要將 L18 的 return 0 跟 L62 的 uVar4 = 0 換成 1 就可以了。

從 Online ARM Assambler 取得 movs r4, 1 的 OpCode 0124用 Hex Editor 改，或是直接在 Ghidra 中，在movs r4, 0x0 右鍵選 Patch Instruction，把 0x0 改成 0x1，存檔。

把 libflutter.so 塞回 apk 裡面，重新用 apksigner 簽章，丟進手機安裝。

Referance

https://orangewirelabs.wordpress.com/2019/06/04/bypassing-root-ca-checks-in-flutter-based-apps-on-android/