How I Lost and Regained Control of My Microchip Implant

nov 27, 2021
admin

The Weakest Link är Motherboards tredje årliga temavecka om framtiden för hackning och cybersäkerhet. Följ med här .

Hör Motherboards nya hackarpodcast CYBER här.

Det var strax före midnatt när jag fattade det impulsiva beslut som skulle förvandla mig till världens mest värdelösa cyborg.

Min vän och jag hade just lämnat en gratiskonsert på den 25:e årliga Def Con, världens största hackerkonferens, och strövade runt i korridorerna på Las Vegas Caesars Hotel och försökte bestämma oss för vad vi skulle göra med resten av vår kväll. Då fick jag det ödesdigra sms:et från en vän: ”Biohacking village stänger ner för natten, det finns några fler implantat kvar.”

Reklam

Jag hade under helgen gjort några tillfälliga kommentarer om att jag ville få ett NFC-chip (Near Field Communications) implanterat i min hand, men varje gång jag besökte montern hade det varit en lång väntetid. Detta skulle vara min sista chans att få ett chip på konferensen så vi bestämde oss för att stanna till på väg ut från hotellet.

När jag kom fram till biohackingbyn fanns det bara ett enda NFC-chip kvar. Det kändes som ödet, så jag plockade fram 50 dollar kontant och tog plats vid piercingsstationen. Jag har fått några piercingar tidigare så utsikten att bli petad störde mig inte lika mycket som utsikten att få en passiv elektronisk enhet injicerad i min hand i ett konferensrum på ett hotell.

Om jag hade ett enda råd till någon som funderar på att få ett NFC-chipimplantat så skulle det vara att göra det nyktert.

Författaren som håller på att få ett NFC-implantat på Def Con 2017. Bild: Daniel Oberhaus

NFC-chip liknar de RFID-chip (Radio Frequency ID) som används för saker som anställningsbrickor eller spårning av varor i butiker, förutom att de inte är lika kraftfulla (därav närfält) och tillåter tvåvägskommunikation. NFC-chip kan användas för att lagra små mängder information, t.ex. lösenord, kontaktinformation, en webbadress eller till och med ett foto.

När ett NFC-chip förs inom några centimeter från en NFC-läsare (de flesta moderna smarttelefoner är utrustade med NFC-funktion) kan data på chipet överföras till läsaren. Detta fungerar på så sätt att läsaren genererar en svag elektrisk ström som skapar ett litet magnetfält. När NFC-chippet befinner sig inom detta magnetfält använder en liten spole i chipet energin från telefonen för att skapa sitt eget fält så att de data som finns lagrade på enheten kan överföras till läsaren.

Reklam

NFC-chippet som jag fick injicerat i handen var tillverkat av Dangerous Things, ett biohackningsföretag som startades av Amal Graafstra och som också har varit pionjärer när det gäller DIY-biometriska vapen. Graafstra har sålt dessa chip sedan han samlade in 30 000 dollar i en crowdfundingkampanj 2014. Chippet är inkapslat i ett litet glasrör som är lite mindre än en halv tum långt och bara två millimeter i diameter. Detta rör injiceras i det mjuka köttet mellan tummen och pekfingret strax ovanför simhinnan. När du håller handen i vissa positioner kan man knappt se chipets kontur som trycker mot huden.

En tidig version av xNT NFC-chippet som implanterats i min hand. Bild: Dangerous Things/Vimeo

Den faktiska processen att få implantatet gick utan problem, men saker och ting utvecklades snabbt efter det. Grejen med NFC-chip är att vem som helst med en läsare också kan skriva till enheten om den inte är skyddad. Även om detta inte direkt är ett stort säkerhetshot, med tanke på att någon måste få läsaren inom flera centimeter från din hand för att skriva till chippet, är det bättre att ta det säkra före det osäkra när man befinner sig på världens största hackerkonferens.

Så, på uppmaning av alla på implantatstationen, var det första jag gjorde med mitt implantat att säkra det med en fyrsiffrig PIN-kod. Jag hade inte bestämt mig för vilken typ av data jag ville lägga in på chippet, men jag ville verkligen inte att någon annan skulle skriva till mitt chip först och eventuellt låsa ut mig. Jag valde samma pinkod som jag använde till min telefon så att jag inte skulle glömma den på morgonen – eller åtminstone trodde jag att jag hade gjort det.

Läs mer: 72 Hours of Pwnage: 72 Hours of Pwnage: 72 Hours of Pwnage: 72 Hours of Pwnage: Om jag hade ett enda råd till någon som funderar på att få ett NFC-chip implanterat skulle det vara att göra det nyktert. Till att börja med kommer pierkaren förmodligen inte ens att ge dig implantatet om de misstänker att du är berusad av skäl som rör samtycke och säkerhet (alkohol tunnar ut blodet, vilket också är anledningen till att du inte ska tatuera dig när du är berusad). Men ännu viktigare är att du inte kommer att vakna upp nästa morgon med en sprittande huvudvärk och absolut ingen aning om hur du ska låsa upp din hand.

En skärmdump av NFC Shell, en Android-app som jag var tvungen att sidolägga för att skicka kommandon till mitt NFC-implantat. Här anger jag olika lösenordskombinationer i hexadecimal kod (t.ex. 303030303030 = ”0000”). Shell returnerar ”NAK”, vilket innebär att kombinationerna är felaktiga.

Jag tillbringade större delen av min första dag som cyborg med att desperat cykla igenom de olika PIN-möjligheterna som gjorde det omöjligt för mig att låsa upp NFC-chippet i min hand och lägga till data till det. Jag provade alla de uppenbara kandidaterna – 0000, 1234, 6969 – och de olika pins som jag använder för andra delar av mitt liv. Jag provade NFC-läsare på olika telefoner samt dedikerade NFC-enheter. Jag ägnade alldeles för mycket tid åt att läsa om de protokoll som används för att säkra chipet, men slutsatsen verkade oundviklig: Jag hade oåterkalleligt ägt mig själv.

Hur jag återfick tillgång till min hand

När jag lämnade Def Con hade jag accepterat mitt öde som en helt värdelös cyborg. Det är naturligtvis möjligt att ta bort NFC-implantat. Processen innebär en mindre operation och enligt vad jag har läst är det verkligen inte så farligt. Men när årets hackervecka kom förbi kändes det dock som ett bra tillfälle att försöka låsa upp min hand en sista gång. Så jag skrev på forumet Dangerous Things i hopp om att någon annan hade haft liknande problem med sitt NFC-chip.

Graafstra svarade och sa att det troligen hade att göra med att jag hade använt en NFC-app från en tredje part för att ställa in lösenordet när jag först fick chipet. Dangerous Things rekommenderar att man säkrar sina chipimplantat med hjälp av sin egen NFC-app. Därefter kan vilken tredjepartsapp som helst användas för att lägga till eller läsa innehållet i implantatet. Problemet är dock om du använder en av dessa appar för att ställa in lösenordet från början.

Och utan att gå in på de tekniska detaljerna om varför detta är ett problem ändrar dessa appar en specifik del av chipets säkerhetsmekanism så att den bara kan ändras av samma app. Med andra ord skulle jag för att låsa upp min hand behöva komma ihåg inte bara lösenordet, utan också vilken NFC-applikation jag hade använt för att ställa in det.

Jag var inte helt säker på det lösenord som jag använde för att säkra min hand, men jag hade ett halvt dussin ledande kandidater, så det handlade mest om att ta reda på vilken app som hade använts för att skydda chipet. Jag började med att använda en app som heter NFC Shell och som gör det möjligt för användare att utfärda kommandon i hexadecimalt format direkt till NFC-chippet. Appen hade av okända skäl tagits bort från Google Play-butiken några månader tidigare, så jag var tvungen att sidolägga appen på min telefon. Efter flera försök att ta reda på lösenordet med hjälp av skalet började jag prova olika kommersiella appar.

Efter att ha provat en app som heter NFC Tools utan framgång gick jag vidare till NXP TagWriter. Jag provade fem eller sex olika pin-kombinationer, men ingen av dem fungerade. Jag var på väg att ge upp med den appen när jag bestämde mig för att prova en sista pin-kombination – och den fungerade. Sammanlagt tog det nog fem timmar att läsa tekniska dokument och prova olika kombinationer av lösenord, NFC-appar och NFC-läsare för att återfå tillgång till mitt implantat.

Det är en märklig känsla att ha tillgång till chippet i min hand för första gången sedan jag fick det implanterat för över ett år sedan. Nu behöver jag bara bestämma mig för vad jag ska lagra på de cirka 900 bytes minne som är implanterade i min hand. Kanske ska jag lägga in en GIF eller mina kontaktuppgifter, men en del av mig vill lämna det tomt. Efter att ha levt ett år med ett helt värdelöst NFC-implantat har jag på sätt och vis börjat gilla det. Den lilla, nästan omärkliga lilla bucklan på min vänstra hand var en ständig påminnelse om att även den mest sofistikerade och idiotsäkra tekniken inte kan mäta sig med mänsklig inkompetens.

Lämna ett svar

Din e-postadress kommer inte publiceras.