Брелок, заменяющий 16 бесконтактных карт, эмулятор и дубликатор RFID и 125кГц и 13.56МГц. Chameleon ULTRA SE - инструкция, разборка

У меня есть простой дубликатор RFID карт и после обзора Панды я захотел купить продвинутый. Тот обзор мне показался неполным, в интернете нет нормальной инструкции на русском языке для этого устройства, поэтому я решил разобраться с ним и расписать что он может и как это делать. Этот брелок может сохранять в своей памяти до 8 карт с частотой 125кГц и 8 карт 13.56МГц. То есть он может сам открывать домофоны вместо 16 карт или брелоков доступа. Его можно носить вместо пачки из 16 карт на работу и чипов домофона. При этом он умеет читать и расшифровывать зашифрованные ключи, а так же записывать их в перезаписываемые болванки — то есть работает как дубликатор.
Но, как всегда, есть нюансы и косяки.

Как пользоваться этим брелоком?

На передней панели хамелеона есть две кнопки, R и W (они же В и А в приложении). Этими кнопками пользователь выбирает вручную один активный слот, в нем может храниться одна ВЧ и одна НЧ карта. Если нажать кнопку, то брелок включает светодиод активного слота. То есть если сейчас активен 3 слот, то будет светиться светодиод возле цифры 3. И когда хамелеон видит, что рядом устройство доступа (домофон, турникет), то он отдает данные именно этой карты, которая заранее выбрана пользователем. При этом не нужно включать, будить хамелеона нажатием кнопки перед тем, как поднести к устройству доступа. Он постоянно готов отдать код, эмулировать нужную карту, даже когда на нем ничего не светится. Это показано в коротком видео в конце обзора.
То есть нужно знать, что домофон дома 13,56МГц и работа 125кГц это 1 слот. Допустим дверь садика 125кГц это второй слот и нужно переключить на него перед тем, как подносить к двери садика, домофон тещи это 3 слот и т. д. Кнопки на передней панели переключают слоты вперед и назад и по кругу. При этом можно активировать только несколько нужных, чтоб не гонять по пустым ячейкам.
На зажатие кнопок есть дополнительные функции
— Если 3 секунды нажать на левую, то хамелеон покажет уровень заряда аккумулятора на столбике из 8 светодиодов на передней панели.
— Если 3 секунды держать правую кнопку, то он попытается прочитать UID карты, которая находится возле хамелеона, и записать ее в слот, который в данный момент активен. То есть сохранить брелок домофона в себя, чтоб потом эмулировать.
При этом все эти сочетания кнопок и функции легко можно настроить под себя в приложении.
Устройство работает с компьютером, с телефоном на андроиде или яблоке, или может сохранять брелоки в свою память автономно, без помощи других гаджетов, просто нажав одну кнопку.

Виды хамелеонов

История появления этого устройства в том, что это опенсорс проект, который потом скопировали китайцы и начали делать свои копии.Вот тут можно посмотреть, чем отличаются разные устройства этой серии.
То есть вроде бы это версия SE. Еще есть чуть уменьшенная версия SE2 с улучшенным сигналом LF, то есть 125кГц. SE3, который еще меньше, сигнал еще улучшен, он красивее и у него кнопки по бокам.

Как это работает?

В RFID есть несколько технологий и частот. Основные это 125кГц и 13.56МГц. Обычно их называют ID card и IC card и соответственно LF (low frequency — низкая частота) и HF (high frequency — высокая частота)
ID card обычно представлен стандартом EM-Marine. Это чипы EM4100 или обычно более дешевый его заменитель TK4100. Они есть в виде тонких 0,8мм и толстых 1,6мм карт. У толстых радиус действия больше. Такие карточки часто используются на проходных, на них нанесен номер, который зашит в чипе. Еще есть круглые брелоки, они обычно используются для домофонов.

IC card обычно представлен стандартом Mifare. Эти карты есть разных вариантов, то есть Mifare Ultralight, Classic, Mifare Classic 1K и прочие.
Карты этого типа дороже, чем EM-Marine, но при этом у них большая степень защиты. В EM-Marine круглая рамка антенны внутри, в Mifare квадратная. Mifare нельзя просто так скопировать, потому что, например в Classic 1K имеется 8192 бита для хранения конфигурационной или пользовательской информации, которые разделены на 16 секторов. Каждый из этих 16 секторов защищен двумя разными ключами — А и В, которые в свою очередь могут быть запрограммированы на выполнение различных операций, как то: чтение, запись, изменение значения блока и т. п.
Брелоки домофонов Mifare обычно тоньше, чем EM-Marine.

На основе этих частот есть перезаписываемые и однократно записанным брелоки, карты, наклейки и прочие. В этих чипах есть код, по которому устройство — домофон, устройство доступа и прочее понимает кто прикладывает чип и выполняет действие — открывает дверь или нет, или возможны другие варианты. В брелоках однократной записи код записан без возможности изменения, в перезаписываемых код можно изменить. В ID картах есть только UID код, в IC картах на 13.56МГц в зависимости от стандарта есть разное количество полей данных и информации в них.
Хамелеон позволяет считывать информацию с этих карт, сохранять в память телефона, сохранять в свою память — то есть эмулирует такие карты, записывать эту информацию в другие карты — то есть работает как дубликатор. При этом он может дешифровать защищенные Mifare.
Как это работает электрически? Внутри карты или брелока или наклейки есть антенна в виде рамки, она припаяна к чипу. Когда вы подносите карточку к турникету или брелок к домофону, то он создает электрическое поле, которое принимает антенна, чип, соединенный с антенной, получает энергию и обменивается данными с устройством доступа.

Где купить?

Оригинал Chameleon ULTRA SE3 на алике стоит около 100$, я брал самый дешевый вариант, скорее всего не оригинал.
Опять же я брал по этой ссылке, которая не будет актуальна для РФ, но актуальна для РБ и возможно для других стран. Если поставить адрес РФ, то алик показывает «Такой страницы нет».
Товар в заголовке нормально доставляется в РФ, но доставка в РБ просто конская. Я думаю что это одно и тоже от разных продавцов.
В комментариях добавили ссылку на хамелеона на озоне, 1400 руб, но в Беларусь доставки нет.

Пришло просто в пакете, в нем сам брелок, короткий USB кабель и два OTG переходника — для microUSB и для Type C. С их помощью можно подключить хамелеона к компу или к телефону проводом. Ну и этим проводом он заряжается.

Внешность — плоская коробка, на передней панели две кнопки с надписями R и W и 8 светодиодов.
В правом верхнем углу под пластиком скрыт белый светодиод, который мигает когда брелок эмулирует код.
В левом верхнем углу красный светодиод, который светится во время зарядки.
На задней стороне адрес гитхаб, на котором ведется развитие проекта. На нижней части есть ушко под шнурок.
На верхней грани гнездо зарядки и передачи данных type c.
От шнура type C-C не заряжается, нужно тип A-C.

Соединение с телефоном

Все возможности хамелеона раскрываются, когда он подключен к приложению.
Это устройство работает с двумя приложениями — MTools Tec и
Chameleon Ultra GUI — ссылка на приложение для андроида.
Я поставил оба, но разобрался только во втором, на нем и буду показывать.
Для того, чтоб подключить хамелеона к телефону, нужно нажать на хамелеоне кнопку — он проснется, загорится светодиод активного слота — и после этого в программе нажать в правом верхнем углу на круглую стрелку.
Брелок появляется на экране программы как Chameleon Ultra.


Теперь нужно соединиться с ним. Для этого нужно нажать на изображение этого брелока на экране. Если вы провтыкали и он уже погасил светодиоды, то соединение не установится, нужно снова его пробудить нажатием кнопки. Телефон секунд 5 соединяется с хамелеоном и теперь он на экране крупно. Пока есть соединение с телефоном, брелок не будет засыпать — это ведет к повышенному расходу батареи.
Какие возможности есть в приложении?
Раскрыл левое меню, чтоб было понятнее. дальше показываю что можно делать в пунктах меню по порядку.

Главная

Главная страница, информация о приборе. Его номер и уровень заряда. Стрелками влево-вправо можно выбрать активную ячейку.

Менеджер слотов

Тут видны все 8 слотов. Нажав на карту, можно выбрать данные карты, которые будут храниться в этом слоте. В каждом слоте может храниться 1 карта НЧ и 1 карта ВЧ.

Если нажать на шестеренку в правом нижнем углу карты, то можно изменить данные слота НЧ и ВЧ отдельно, можно удалить карту из слота или выключить слот (сделать неактивным).

Так же в этом подменю, нажав на стрелку вниз, можно сохранить, экспортировать данные слота — опять же отдельно НЧ и ВЧ.

Сохраненные карты

В этом пункте меню можно посмотреть, отредактировать, удалить, добавить, сохранить в файл и прочие операции с картами и словарями ключей.
Для НЧ карт можно поменять UID, для ВЧ карт можно поменять много параметров, выбрать тип карты.
Для словарей можно редактировать имя и содержание ключа.

Чтение карт

Как несложно догадаться, в этом меню происходит чтение карт.
Чтение НЧ карт происходит просто. Положил карту на брелок, нажал на прочитать и увидел UID, который записан в карте и ее тип. Можно сохранить эту карту, задать имя и она появится в предыдущем меню Сохраненные карты под этим именем.

Чтение ВЧ карт чуть сложнее, потому что они бывают зашифрованными.
Нужно положить карту на хамелеона, нажать прочитать в верхнем ВЧ окне.
Хамелеон мигает белым светодиодом и показывает незашифрованную информацию — UID, SAK и прочую. Показывает тип. И ниже показывает ключи, которые закрыты красными крестиками.
Что делать, чтоб нормально скопировать карту с ключами? Можно нажать «Проверить ключи из словаря». При этом карта, брелок должны все еще лежать на хамелеоне. Он читает ключи и показывает зелеными галочками места, где нет ключей и крестиками позиции, где есть закрытый ключ.
Можно Сохранить только UID, то есть без ключей, а ключи добавить потом. Или записать в новый брелок только UID, но скорее всего домофон не откроется с таким брелоком.

Можно нажать Восстановить ключи. На месте крестиков несколько секунд крутится кружок, и приложение видимо подбирает ключ. У меня ключ подобрался, и красный крестик поменялся на зеленую галочку.

Теперь появились кнопки Считать данные с карты и Экспорт найденных ключей.
Если нажать экспорт найденных ключей, то можно добавить найденные ключи в существующий словарь или создать новый, или сохранить ключи в файл с расширением .key

Если нажать Считать данные с карты, то хамелеон секунд 10 мигает белым светодиодом в правом верхнем углу, потом можно сохранить карту или Сохранить как .bin
Первый вариант сохраняет карту в программе, она появится в меню Сохраненные карты. Второй вариант позволяет сохранить информацию карты в файл и потом передать файл карты с телефона на другое устройство.
Второй вариант — если ключи не открываются и на прошлом этапе после нажатия Восстановить ключи и на месте красного крестика долго (бесконечно) крутится кружок, то можно подкинуть словари. Внизу под крестиками с ключами есть раскрывающееся меню, там можно выбрать словарь с ключами, и программа подбирает ключи из этого словаря.

Запись карт

В этом меню происходит запись карт, то есть хамелеон берет карту из памяти телефона и пишет ее в перезаписываемый брелок или карту.
Запись НЧ карт проста
1) Нужно выбрать сохраненную карту из памяти приложения.
Логично, что для записи НЧ карты, нужно выбрать НЧ карту. В правом верхнем углу можно отфильтровать список по типу — НЧ или ВЧ и при этом в списке карт их иконки отличаются.
И у каждой карты подписан тип — в моем случае Mifire или EM410X, перепутать сложно.
Выбрал карту с названием FF


Далее нужно нажать Далее, затем шаг 2

2) Нужно выбрать тип карты. Для НЧ карт он Т55ХХ без вариантов. Если нажать внизу на Автоопределение типа карты, то программа скажет что эта карта не поддерживает автоопределение.
Можно нажать Назад, чтоб выбрать другую карту. Нажимаю Далее

3) Запись данных. Просит какой-то ключ. Если нажать на поле ввода ключа, то появляется подсказка, что «ключ по умо...» — текст подсказки не входит в окно ввода.
Я повернул экран и увидел, что «ключ по умолчанию у CU — 20206666».
Ввел этот ключ и теперь просит новый ключ.

Можно не вводить ключи, а просто нажать один раз правее ключа Далее и программа переходит к следующему этапу

3) Запись данных.
Нажимаю на кнопку Запись данных и карта успешно записывается или не записывается, о чем приложение сообщает.


Запись ВЧ карт практически ничем не отличается от процесса выше.
1) Так же нужно выбрать карту из списка карт в приложении. Логично, что для записи ВЧ карты, нужно выбрать ВЧ карту, я выбрал Mifire classic 1K.
2) У меня стоит тип карты Gen1. Если нажать на автоопределение, то опять же определяет Gen1. Нажимаю Далее
3) Если на прошлом этапе стоял тип карты Gen1, то на этом этапе можно только нажать запись данных.
Если на 2 этапе выбрать Gen2 или Gen3, то на 3 этапе нужно снова работать с ключами. У меня карта Gen1, поэтому просто нажимаю Запись данных.
Если с чипом все в порядке, то хамелеон записывает его, весело мигая белым светодиодом. Так я скопировал чип от домофона, за дубликат которого просили половину стоимости этого устройства.
То есть скопировал 2 ключа — отбил стоимость этой покупки.

Настройки

В этом пункте меню можно настроить программу. Настроить размер боковой панели — на телефоне в вертикальной ориентации лучше сжатый вариант. Для планшетной ориентации или если большой экран планшета, можно выбрать Автоматически или Раскрытая, тогда возле значков в левой части будут видны надписи.
Можно выбрать темную или светлую тему и есть варианты цветового оформления.
Можно выбрать язык — есть много вариантов.


Можно экспортировать или импортировать настройки — через QR code или через JSON файл.

Ну и О программе — версия 1.1.1

В режим отладки я лезть не стал, а то будет как в том анекдоте:


По просьбам телезрителей, добавил скрины из режима отладки

На главной странице есть еще кнопки.
Крестик в правой верхней части, возле символа BT и батареи, рвет BT соединение с хамелеоном. И это приходится применять в следующем этапе.
Ниже 8 отображены 8 слотов, можно выбирать стрелками активный, при этом на хамелеоне так же бегает светодиод.
Внизу видна версия ПО: 2.0. Я проверил, версия ПО актуальна.
В самом низу есть два символа, квадратная улитка или какой-то излучатель. Когда внизу символ улитки, то это значит, что кнопки на хамелеоне заблокированы. Если нажать на эту улитку, то символ поменяется и кнопки на хамелеоне снова будут активны. Я не знаю почему, но во время работы программы она иногда блокирует кнопки и приходится нажимать на улитку.
Ну и в правом нижнем углу, рядом с улиткой, есть еще одна шестеренка. Это настройки самого устройства.
Там можно управлять прошивкой, настроить действия на короткое и долгое нажатие на кнопки, настроить анимацию (я так и не увидел разницы).
И самое главное, что можно сбросить настройки и вернуться к заводским настройкам.
Кнопки на хамелеоне и кнопки в программе перепутаны
— А в программе это правая W на хамелеоне,
— В в программе это левая R на хамелеоне
По умолчанию левая кнопка переключает слоты назад, точнее вниз, от 3 к 2 и так далее.
Удержание левой кнопки более 3 секунд показывает уровень заряда аккумулятора.
Удержание правой кнопки более 3 секунд записывает UID чипа, который находится возле хамелеона, в память слота, который выбран в хамелеоне активным.
В настройках я поменял эти кнопки местами, чтоб слева была кнопка А, которая увеличивает номер слота, выбирает слот выше — мне кажется, что так логичнее.

Автономная запись чипов в память хамелеона

Это устройство может автономно сохранять чипы в свою память. То есть прикоснулся брелоком к хамелеону, нажал на 3 секунды кнопку и он сохранил чип в свою память. И потом можно открывать двери и проходить на проходной, используя уже хамелеон. Но не все так просто.
При нажатии правой кнопки на 3 сек (это можно поменять в настройках) происходит сохранение только UID в слот, который активен на данный момент.
То есть, если активным выбран слот 5, и поднести НЧ чип, то UID сохранится в НЧ ячейку слота 5. То есть по сути логика такова, что нужно выбрать неиспользуемый слот и потом нажатием кнопки сохранить в него UID. Недостаток в том, что активным можно выбрать только тот слот, в котором есть какая-то карта. Если в слоте не записана карта, то его нельзя выбрать кнопками R и W.
Изначально в хамелеоне активны 3 слота — 1, 2, 3. Можно включить еще, в меню Менеджер слотов нажать на шестеренку в правом нижнем углу любого слота и там передвинуть ползунок вправо, чтоб включить НЧ или ВЧ или обе части слота. После этого слот можно выбрать кнопками на хамелеоне, затем прикоснуться брелоком к хамелеону и зажать нужную для сохранения кнопку. Если удалось записать, то пробежит полоска зеленых светодиодов, если не удалось, то красная полоска. При этом имя карточки в слоте задается Cloned ну и UID копируется в слот.

Слот не активен

Включил НЧ часть слота, скопировал в него UID

Но не всегда помогает просто включить слот, сдвинув чекбокс вправо.
Иногда включил, слот активен и выбирается кнопками R и W на устройстве, но на данном слоте он никак не реагирует на попытки сохранить кнопкой UID в этот слот.
Лучше нажать на слот и выбрать в него какую-то карту из памяти. После этого хамелеон охотнее пишет в этот слот нажатием кнопки.
Вторая проблема в том, что сохраняется только UID. То есть он не может сохранить в свою память на лету зашифрованные mifire карты. НЧ карты 125КГц — без проблем, ВЧ — только незащищенные.
Я пробовал выбрать в 1 слот карту с расшифрованными ключами — 1 слот открывает домофон. Для этого не нужно даже включать хамелеона, просто он должен заснуть с 1 активным слотом.
Сразу, когда я поднес его к домофону, он мигнул белым светодиодом и домофон открыл дверь.
Но когда я быстрым способом скопировал оригинальный брелок в 2 слот хамелеона, то при аналогичных действиях он просыпался, мигал белым светодиодом, пытался эмулировать карту, но домофон не реагировал — потому что во втором слоте при быстром сохранении не было ключей.
После записи ключа в хамелеона желательно проверить, что туда записалось. Для этого нужно на главном экране разорвать BT соединение и снова подключиться и посмотреть, что сохранилось в слотах. Потому что у меня были случаи, что он вроде показывал анимацию зеленой полоски, которая сигнализирует о том, что запись прошла успешно. И в программе в слот все записано. Но после разрыва соединения и повторного подключения в слоте пусто или он даже не активен. То есть лучше проверять, есть глюки.

Разборка

Разбирется просто, пару защелок вверху и внизу. При разборке они не ломаются, корпус колется на 2 половины.
На передней части детали, на задней стороне платы прямоугольная антенна дорожками на плате и круглая тонкой проволокой.
Аккумулятор на 90мАч.
И кнопка А справа.

Добавил видео работы хамелеона с домофоном цифрал.
Первый раз был активен первый слот. В первый слот я выбрал карту, в которой я расшифровал ключи — то есть в первом слоте карта с ключами.
хамелеон спит и когда я поднес его к домофону, то он сразу проснулся и открыл дверь.
Потом я переключил на 8 слот, там просто был сохранен UID этого же брелока. Без использования телефона и соответственно без расшифровки ключей.
Ключей в 8 слоте нет, только UID из брелока и хотя хамелеон видит домофон, моргает белым светодиодом, но домофон не реагирует, не открывает дверь.

Итог:

+ Интересное устройство, которое позволяет сохранять даже защищенные карты в свою память и в память телефона или просто в файл.
+ Позволяет эмулировать до 8 НЧ карт и до 8 ВЧ карт. Долго держит заряд батареи, написано что до полугода.
+ Может работать как дубликатор, записывая карты. То есть один брелок домофона можно скопировать на плоские карты или тонкие наклейки, при этом сильно сэкономив.
+ Можно редактировать данные карт вручную.
+ Размер как у спичечного коробка.
+ Дешево.

Минусы
— Есть баги в работе, я считаю за такую цену они некритичны.
— В отзывах на озоне «последние фильтры ironlogic на домофонах обойти не может.»
— Не умеет считывать и эмулировать HID Proxy
— По умолчанию кнопки А и В перепутаны местами, но можно изменить в настройках.

Куплено за свои, скрин покупки:

Видеодемонстрация, видеоинструкция: