Sub-GHz RF
车库门
车库门开启器通常在300-190 MHz范围内运行,最常见的频率为300 MHz、310 MHz、315 MHz和390 MHz。这个频率范围通常用于车库门开启器,因为与其他频段相比,这个频率范围更不拥挤,也不太可能受到其他设备的干扰。
车门
大多数汽车钥匙遥控器使用315 MHz或433 MHz。这两种都是无线电频率,用于各种不同的应用。这两种频率之间的主要区别在于433 MHz的范围比315 MHz更长。这意味着433 MHz更适用于需要更长范围的应用,例如远程无钥匙进入。 在欧洲,433.92MHz是常用的,在美国和日本则是315MHz。
暴力攻击
如果不是每个代码发送5次(这样发送是为了确保接收器收到),而只发送一次,时间缩短到6分钟:
如果去除信号之间的2毫秒等待时间,可以将时间缩短到3分钟。
此外,通过使用De Bruijn序列(一种减少发送所有潜在二进制数所需位数的方法),时间仅缩短到8秒:
此攻击的示例已在https://github.com/samyk/opensesame中实现。
需要前导码将避免De Bruijn序列优化,而滚动代码将防止此攻击(假设代码足够长,无法通过暴力破解获得)。
Sub-GHz攻击
要使用Flipper Zero攻击这些信号,请查看:
FZ - Sub-GHz滚动代码保护
自动车库门开启器通常使用无线遥控器来打开和关闭车库门。遥控器发送无线电频率(RF)信号给车库门开启器,激活电机打开或关闭门。
有人可以使用称为代码抓取器的设备拦截RF信号并记录下来以供以后使用。这被称为重放攻击。为了防止这种类型的攻击,许多现代车库门开启器使用更安全的加密方法,称为滚动代码系统。
RF信号通常使用滚动代码进行传输,这意味着每次使用时代码都会更改。这使得某人很难拦截信号并将其用于未经授权地访问车库。
在滚动代码系统中,遥控器和车库门开启器有一个共享算法,每次使用遥控器时都会生成一个新代码。车库门开启器只会响应正确的代码,这使得某人仅通过捕获一个代码就能未经授权地访问车库变得更加困难。
缺失链接攻击
基本上,您在遥控器超出范围时监听按钮并捕获信号。然后,您移动到设备并使用捕获的代码打开它。
完整链接干扰攻击
攻击者可以在车辆或接收器附近干扰信号,使接收器实际上无法“听到”代码,一旦发生这种情况,您可以简单地捕获和重放代码。
受害者最终会使用钥匙锁车,但攻击将记录足够的“关闭门”代码,希望可以重新发送以打开门(可能需要更改频率,因为有些车辆使用相同的代码来打开和关闭,但在不同频率上监听两个命令)。
干扰有效,但如果锁车的人简单测试门以确保它们已锁定,他们会注意到车辆未锁定。此外,如果他们意识到此类攻击,甚至可以听到车辆未发出锁定声音或按下“锁定”按钮时车辆的灯光未闪烁。
代码抓取攻击(又名‘RollJam’)
这是一种更隐蔽的干扰技术。攻击者将干扰信号,因此当受害者尝试锁定门时,它不起作用,但攻击者会记录此代码。然后,受害者将再次尝试锁定车辆按下按钮,车辆将记录第二个代码。 在此之后,攻击者可以发送第一个代码,车辆将锁定(受害者会认为第二次按下按钮关闭了它)。然后,攻击者将能够发送第二个窃取的代码以打开车辆(假设**“关闭车辆”代码也可以用于打开**)。可能需要更改频率(因为有些车辆使用相同的代码来打开和关闭,但在不同频率上监听两个命令)。
攻击者可以干扰车辆接收器而不是自己的接收器,因为如果车辆接收器在例如1MHz宽带上监听,攻击者不会干扰遥控器使用的确切频率,而是在该频谱中的一个接近频率进行干扰,而攻击者的接收器将在较小范围内监听,从中可以听到遥控器信号而无需干扰信号。
其他规范中看到的实现显示滚动代码是发送的总代码的一部分。即发送的代码是一个24位密钥,其中前12位是滚动代码,第二个8位是命令(如锁定或解锁),最后4位是校验和。实施此类型的车辆也容易受到攻击,因为攻击者只需替换滚动代码段即可在两个频率上使用任何滚动代码。
请注意,如果受害者在攻击者发送第一个代码时发送第三个代码,则第一个和第二个代码将无效。
报警声干扰攻击
针对安装在汽车上的售后滚动代码系统进行测试,立即发送相同的代码两次会激活报警器和防盗装置,提供了独特的服务拒绝机会。具有讽刺意味的是,停止报警器和防盗装置的方法是按下遥控器,这为攻击者提供了持续执行DoS攻击的能力。或将此攻击与前一个攻击混合,以获取更多代码,因为受害者希望尽快停止攻击。
参考资料
最后更新于