Sub-GHz RF

Garage Doors

गैरेज दरवाजे के ओपनर आमतौर पर 300-190 मेगाहर्ट्ज की आवृत्तियों पर काम करते हैं, जिनमें सबसे सामान्य आवृत्तियाँ 300 मेगाहर्ट्ज, 310 मेगाहर्ट्ज, 315 मेगाहर्ट्ज, और 390 मेगाहर्ट्ज हैं। यह आवृत्ति रेंज गैरेज दरवाजे के ओपनर के लिए सामान्यतः उपयोग की जाती है क्योंकि यह अन्य आवृत्ति बैंड की तुलना में कम भीड़भाड़ वाली होती है और अन्य उपकरणों से हस्तक्षेप का अनुभव करने की संभावना कम होती है।

Car Doors

अधिकांश कार की चाबी के फॉब या तो 315 मेगाहर्ट्ज या 433 मेगाहर्ट्ज पर काम करते हैं। ये दोनों रेडियो आवृत्तियाँ हैं, और इन्हें विभिन्न अनुप्रयोगों में उपयोग किया जाता है। दोनों आवृत्तियों के बीच मुख्य अंतर यह है कि 433 मेगाहर्ट्ज की रेंज 315 मेगाहर्ट्ज की तुलना में लंबी होती है। इसका मतलब है कि 433 मेगाहर्ट्ज उन अनुप्रयोगों के लिए बेहतर है जिन्हें लंबी रेंज की आवश्यकता होती है, जैसे कि रिमोट कीलेस एंट्री। यूरोप में 433.92 मेगाहर्ट्ज सामान्यतः उपयोग किया जाता है और अमेरिका और जापान में यह 315 मेगाहर्ट्ज है।

Brute-force Attack

यदि प्रत्येक कोड को 5 बार भेजने के बजाय (यह सुनिश्चित करने के लिए कि रिसीवर इसे प्राप्त करता है) केवल एक बार भेजा जाए, तो समय 6 मिनट तक कम हो जाता है:

और यदि आप सिग्नल के बीच 2 मिलीसेकंड की प्रतीक्षा अवधि को हटा देते हैं तो आप समय को 3 मिनट तक कम कर सकते हैं।

इसके अलावा, De Bruijn Sequence का उपयोग करके (यह सभी संभावित बाइनरी नंबरों को ब्रूटफोर्स करने के लिए भेजने के लिए आवश्यक बिट्स की संख्या को कम करने का एक तरीका) यह समय केवल 8 सेकंड तक कम हो जाता है:

इस हमले का उदाहरण https://github.com/samyk/opensesame में लागू किया गया था।

एक प्रीएंबल की आवश्यकता De Bruijn Sequence ऑप्टिमाइजेशन से बचाएगी और रोलिंग कोड इस हमले को रोकेंगे (मानते हुए कि कोड इतना लंबा है कि इसे ब्रूटफोर्स नहीं किया जा सकता)।

Sub-GHz Attack

इन सिग्नल पर Flipper Zero के साथ हमला करने के लिए जांचें:

Rolling Codes Protection

स्वचालित गैरेज दरवाजे के ओपनर आमतौर पर गैरेज दरवाजे को खोलने और बंद करने के लिए एक वायरलेस रिमोट कंट्रोल का उपयोग करते हैं। रिमोट कंट्रोल गैरेज दरवाजे के ओपनर को एक रेडियो आवृत्ति (RF) सिग्नल भेजता है, जो दरवाजे को खोलने या बंद करने के लिए मोटर को सक्रिय करता है।

किसी के लिए RF सिग्नल को इंटरसेप्ट करने और इसे बाद में उपयोग के लिए रिकॉर्ड करने के लिए एक डिवाइस का उपयोग करना संभव है। इसे रिप्ले अटैक के रूप में जाना जाता है। इस प्रकार के हमले को रोकने के लिए, कई आधुनिक गैरेज दरवाजे के ओपनर एक अधिक सुरक्षित एन्क्रिप्शन विधि का उपयोग करते हैं जिसे रोलिंग कोड प्रणाली के रूप में जाना जाता है।

RF सिग्नल आमतौर पर एक रोलिंग कोड का उपयोग करके प्रसारित किया जाता है, जिसका अर्थ है कि कोड हर उपयोग के साथ बदलता है। यह किसी के लिए सिग्नल को इंटरसेप्ट करना और गैरेज में अनधिकृत पहुंच प्राप्त करने के लिए उसे उपयोग करना कठिन बनाता है।

रोलिंग कोड प्रणाली में, रिमोट कंट्रोल और गैरेज दरवाजे के ओपनर के पास एक साझा एल्गोरिदम होता है जो हर बार रिमोट के उपयोग पर एक नया कोड उत्पन्न करता है। गैरेज दरवाजे का ओपनर केवल सही कोड पर प्रतिक्रिया करेगा, जिससे किसी के लिए केवल कोड कैप्चर करके गैरेज में अनधिकृत पहुंच प्राप्त करना बहुत कठिन हो जाता है।

Missing Link Attack

बुनियादी रूप से, आप बटन के लिए सुनते हैं और जब रिमोट डिवाइस (जैसे कार या गैरेज) की रेंज से बाहर होता है तब सिग्नल को कैप्चर करते हैं। फिर आप डिवाइस के पास जाते हैं और कैप्चर किए गए कोड का उपयोग करके इसे खोलते हैं।

Full Link Jamming Attack

एक हमलावर वाहन या रिसीवर के पास सिग्नल को जाम कर सकता है ताकि रिसीवर वास्तव में कोड को ‘सुन’ न सके, और जब ऐसा हो रहा हो, तो आप बस कोड को कैप्चर और रिप्ले कर सकते हैं जब आप जाम करना बंद कर दें।

शिकार किसी बिंदु पर कार को लॉक करने के लिए चाबियाँ का उपयोग करेगा, लेकिन फिर हमले ने "दरवाजा बंद करें" कोड को रिकॉर्ड किया होगा जिसे उम्मीद है कि दरवाजा खोलने के लिए फिर से भेजा जा सकेगा (एक आवृत्ति में परिवर्तन की आवश्यकता हो सकती है क्योंकि कुछ कारें दरवाजे को खोलने और बंद करने के लिए समान कोड का उपयोग करती हैं लेकिन विभिन्न आवृत्तियों में दोनों कमांड सुनती हैं)।

Code Grabbing Attack ( aka ‘RollJam’ )

यह एक अधिक गुप्त जामिंग तकनीक है। हमलावर सिग्नल को जाम करेगा, इसलिए जब शिकार दरवाजा लॉक करने की कोशिश करेगा, तो यह काम नहीं करेगा, लेकिन हमलावर इस कोड को रिकॉर्ड करेगा। फिर, शिकार फिर से कार को लॉक करने की कोशिश करेगा बटन दबाकर और कार इस दूसरे कोड को रिकॉर्ड करेगी। इसके तुरंत बाद, हमलावर पहले कोड को भेज सकता है और कार लॉक हो जाएगी (शिकार सोचेगा कि दूसरे प्रेस ने इसे बंद कर दिया)। फिर, हमलावर कार को खोलने के लिए दूसरे चुराए गए कोड को भेजने में सक्षम होगा (मानते हुए कि "कार बंद करें" कोड का उपयोग इसे खोलने के लिए भी किया जा सकता है)। एक आवृत्ति में परिवर्तन की आवश्यकता हो सकती है (क्योंकि कुछ कारें दरवाजे को खोलने और बंद करने के लिए समान कोड का उपयोग करती हैं लेकिन विभिन्न आवृत्तियों में दोनों कमांड सुनती हैं)।

हमलावर कार रिसीवर को जाम कर सकता है और अपने रिसीवर को नहीं क्योंकि यदि कार रिसीवर उदाहरण के लिए 1 मेगाहर्ट्ज ब्रॉडबैंड में सुन रहा है, तो हमलावर रिमोट द्वारा उपयोग की जाने वाली सटीक आवृत्ति को जाम नहीं करेगा बल्कि उस स्पेक्ट्रम में एक निकटतम आवृत्ति को जाम करेगा जबकि हमलावर का रिसीवर एक छोटे रेंज में सुन रहा होगा जहां वह रिमोट सिग्नल को जाम सिग्नल के बिना सुन सकता है।

Alarm Sounding Jamming Attack

एक कार पर स्थापित एक आफ्टरमार्केट रोलिंग कोड प्रणाली के खिलाफ परीक्षण करते समय, एक ही कोड को दो बार भेजने से तुरंत अलार्म और इमोबिलाइज़र सक्रिय हो गया, जिससे एक अद्वितीय सेवा से इनकार का अवसर मिला। विडंबना यह है कि अलार्म और इमोबिलाइज़र को निष्क्रिय करने का तरीका रिमोट को दबाना था, जिससे हमलावर को लगातार DoS हमले करने की क्षमता मिल गई। या इस हमले को पिछले एक के साथ मिलाकर अधिक कोड प्राप्त करें क्योंकि शिकार जल्द से जल्द हमले को रोकना चाहेगा।

References

• https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/

• https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/

• https://samy.pl/defcon2015/

• https://hackaday.io/project/164566-how-to-hack-a-car/details