Sub-GHz RF
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Відкривачі гаражних дверей зазвичай працюють на частотах в діапазоні 300-190 МГц, з найбільш поширеними частотами 300 МГц, 310 МГц, 315 МГц та 390 МГц. Цей діапазон частот зазвичай використовується для відкривачів гаражних дверей, оскільки він менш переповнений, ніж інші частотні діапазони, і менш ймовірно, що зазнає перешкод від інших пристроїв.
Більшість автомобільних ключів працюють на 315 МГц або 433 МГц. Це обидві радіочастоти, які використовуються в різних застосуваннях. Основна різниця між двома частотами полягає в тому, що 433 МГц має більший діапазон, ніж 315 МГц. Це означає, що 433 МГц краще підходить для застосувань, які вимагають більшого діапазону, таких як дистанційний безключовий доступ. В Європі зазвичай використовується 433.92 МГц, а в США та Японії - 315 МГц.
Якщо замість того, щоб надсилати кожен код 5 разів (надсилається так, щоб переконатися, що приймач його отримує), просто надіслати його один раз, час зменшується до 6 хвилин:
і якщо ви видалите 2 мс затримку між сигналами, ви можете зменшити час до 3 хвилин.
Більше того, використовуючи послідовність Де Бруйна (спосіб зменшити кількість бітів, необхідних для надсилання всіх потенційних двійкових чисел для брутфорсу), цей час зменшується до 8 секунд:
Приклад цієї атаки був реалізований у https://github.com/samyk/opensesame
Вимога прембли уникне оптимізації послідовності Де Бруйна і кодові зміни запобігатимуть цій атаці (припускаючи, що код достатньо довгий, щоб не піддаватися брутфорсу).
Щоб атакувати ці сигнали за допомогою Flipper Zero, перевірте:
FZ - Sub-GHzАвтоматичні відкривачі гаражних дверей зазвичай використовують бездротовий пульт дистанційного керування для відкриття та закриття гаражних дверей. Пульт дистанційного керування надсилає радіочастотний (RF) сигнал до відкривача гаражних дверей, який активує мотор для відкриття або закриття дверей.
Існує можливість, що хтось використовує пристрій, відомий як кодовий захоплювач, щоб перехопити RF сигнал і записати його для подальшого використання. Це відомо як атака повтору. Щоб запобігти такій атаці, багато сучасних відкривачів гаражних дверей використовують більш безпечний метод шифрування, відомий як система кодових змін.
RF сигнал зазвичай передається за допомогою коду змін, що означає, що код змінюється з кожним використанням. Це ускладнює перехоплення сигналу і використання його для отримання неавторизованого доступу до гаража.
У системі коду змін пульт дистанційного керування та відкривач гаражних дверей мають спільний алгоритм, який генерує новий код щоразу, коли використовується пульт. Відкривач гаражних дверей реагуватиме лише на правильний код, що ускладнює отримання неавторизованого доступу до гаража лише шляхом захоплення коду.
В основному, ви слухаєте кнопку і захоплюєте сигнал, поки пульт знаходиться поза зоною дії пристрою (скажімо, автомобіля або гаража). Потім ви переходите до пристрою і використовуєте захоплений код, щоб відкрити його.
Зловмисник може глушити сигнал поблизу автомобіля або приймача, щоб приймач не міг насправді «почути» код, і коли це відбувається, ви можете просто захопити та повторити код, коли зупините глушіння.
Жертва в якийсь момент використає ключі, щоб заблокувати автомобіль, але потім атака запише достатньо "кодів закриття дверей", які, сподіваюся, можна буде повторно надіслати, щоб відкрити двері (можливо, знадобиться зміна частоти, оскільки є автомобілі, які використовують однакові коди для відкриття та закриття, але слухають обидва команди на різних частотах).
Глушіння працює, але це помітно, оскільки якщо особа, що закриває автомобіль, просто перевіряє двері, щоб переконатися, що вони заблоковані, вона помітить, що автомобіль не заблокований. Крім того, якщо вони були б обізнані про такі атаки, вони могли б навіть почути, що двері ніколи не видавали звук замка або вогні автомобіля ніколи не спалахували, коли вони натискали кнопку «замок».
Це більш прихована техніка глушіння. Зловмисник буде глушити сигнал, тому, коли жертва намагається заблокувати двері, це не спрацює, але зловмисник запише цей код. Потім жертва знову спробує заблокувати автомобіль, натискаючи кнопку, і автомобіль запише цей другий код. Миттєво після цього зловмисник може надіслати перший код, і автомобіль заблокується (жертва подумає, що другий натиск закрив його). Потім зловмисник зможе надіслати другий вкрадений код, щоб відкрити автомобіль (припускаючи, що код "закриття автомобіля" також можна використовувати для відкриття). Може знадобитися зміна частоти (оскільки є автомобілі, які використовують однакові коди для відкриття та закриття, але слухають обидва команди на різних частотах).
Зловмисник може глушити приймач автомобіля, а не свій приймач, оскільки якщо приймач автомобіля слухає, наприклад, на 1 МГц широкосмуговому, зловмисник не глушитиме точну частоту, що використовується пультом, а близьку в цьому спектрі, в той час як приймач зловмисника слухатиме на меншій ділянці, де він може слухати сигнал пульта без сигналу глушіння.
Інші реалізації, які були помічені в специфікаціях, показують, що код зміни є частиною загального коду, що надсилається. Тобто, код, що надсилається, є 24-бітним ключем, де перші 12 - це код зміни, другі 8 - це команда (така як блокування або розблокування), а останні 4 - це контрольна сума. Автомобілі, які реалізують цей тип, також природно вразливі, оскільки зловмиснику просто потрібно замінити сегмент коду зміни, щоб мати можливість використовувати будь-який код зміни на обох частотах.
Зверніть увагу, що якщо жертва надішле третій код, поки зловмисник надсилає перший, перший і другий код будуть недійсними.
Тестуючи проти системи коду зміни, встановленої на автомобілі, надсилання одного й того ж коду двічі негайно активувало сигналізацію та іммобілізатор, надаючи унікальну можливість відмови в обслуговуванні. Іронічно, засобом відключення сигналізації та іммобілізатора було натискання на пульт, що надає зловмиснику можливість постійно виконувати атаку DoS. Або змішати цю атаку з попередньою, щоб отримати більше кодів, оскільки жертва хотіла б якомога швидше зупинити атаку.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
