Sub-GHz RF

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Drzwi Garażowe

Otwieracze do bram garażowych zazwyczaj działają w zakresie częstotliwości od 300 do 190 MHz, przy najczęstszych częstotliwościach wynoszących 300 MHz, 310 MHz, 315 MHz i 390 MHz. Ten zakres częstotliwości jest powszechnie używany do otwieraczy do bram garażowych, ponieważ jest mniej zatłoczony niż inne pasma częstotliwości i mniej podatny na zakłócenia z innych urządzeń.

Drzwi Samochodu

Większość pilotów do samochodów działa na częstotliwości 315 MHz lub 433 MHz. Są to częstotliwości radiowe, które są używane w różnych aplikacjach. Główną różnicą między tymi dwiema częstotliwościami jest to, że 433 MHz ma większy zasięg niż 315 MHz. Oznacza to, że 433 MHz jest lepszy do zastosowań wymagających większego zasięgu, takich jak zdalne otwieranie zamków. W Europie powszechnie używane jest 433,92 MHz, a w USA i Japonii jest to 315 MHz.

Atak Brute-force

Jeśli zamiast wysyłać każdy kod 5 razy (wysyłany w ten sposób, aby odbiornik go odebrał) wysłać go tylko raz, czas zostaje skrócony do 6 minut:

a jeśli usunąć 2 ms oczekiwania między sygnałami, czas można skrócić do 3 minut.

Co więcej, korzystając z ciągu De Bruijna (sposobu na zmniejszenie liczby bitów potrzebnych do wysłania wszystkich potencjalnych liczb binarnych do ataku brute-force), ten czas zostaje skrócony do zaledwie 8 sekund:

Przykład tego ataku został zaimplementowany w https://github.com/samyk/opensesame

Wymaganie preambuły uniknie optymalizacji ciągu De Bruijna i kody zmiennoprzecinkowe zapobiegną temu atakowi (przy założeniu, że kod jest wystarczająco długi, aby nie można było go złamać metodą brute-force).

Atak na Częstotliwości Sub-GHz

Aby zaatakować te sygnały za pomocą Flipper Zero, sprawdź:

Ochrona Przed Kodami Zmiennoprzecinkowymi

Automatyczne otwieracze do bram garażowych zazwyczaj używają bezprzewodowego pilota do otwierania i zamykania bramy garażowej. Pilot wysyła sygnał radiowy (RF) do otwieracza bramy garażowej, który uruchamia silnik do otwarcia lub zamknięcia drzwi.

Istnieje możliwość, że ktoś może użyć urządzenia znanego jako grabber kodów do przechwycenia sygnału RF i zarejestrowania go na późniejsze użycie. Jest to znane jako atak powtórzeniowy. Aby zapobiec temu rodzajowi ataku, wiele nowoczesnych otwieraczy do bram garażowych używa bardziej bezpiecznej metody szyfrowania znanej jako system kodów zmiennoprzecinkowych.

Sygnał RF jest zazwyczaj przesyłany za pomocą kodów zmiennoprzecinkowych, co oznacza, że kod zmienia się przy każdym użyciu. Sprawia to, że jest trudniej dla kogoś, aby przechwycić sygnał i użyć go do uzyskania nieautoryzowanego dostępu do garażu.

W systemie kodów zmiennoprzecinkowych pilot i otwieracz do bramy garażowej mają wspólny algorytm, który generuje nowy kod za każdym razem, gdy pilot jest używany. Otwieracz bramy garażowej odpowie tylko na poprawny kod, co sprawia, że jest znacznie trudniej dla kogoś uzyskać nieautoryzowany dostęp do garażu, po prostu przechwytując kod.

Atak Brakującego Połączenia

W zasadzie, nasłuchujesz przycisku i przechwytujesz sygnał, gdy pilot jest poza zasięgiem urządzenia (np. samochodu lub garażu). Następnie przenosisz się do urządzenia i używasz przechwyconego kodu, aby je otworzyć.

Pełny Atak Zakłócania Połączenia

Atakujący mógłby zakłócić sygnał w pobliżu pojazdu lub odbiornika, aby odbiorca faktycznie nie "usłyszał" kodu, a gdy to się stanie, po prostu przechwycisz i odtworzysz kod, gdy przestaniesz zakłócać.

Ofiara w pewnym momencie użyje kluczy, aby zamknąć samochód, ale wtedy atak nagrał wystarczającą ilość kodów "zamknij drzwi", które być może można by ponownie wysłać, aby otworzyć drzwi (może być potrzebna zmiana częstotliwości, ponieważ są samochody, które używają tych samych kodów do otwierania i zamykania, ale nasłuchują obu poleceń na różnych częstotliwościach).

Zakłócanie działa, ale jest zauważalne, ponieważ jeśli osoba zamykająca samochód po prostu sprawdza drzwi, aby upewnić się, że są zamknięte, zauważy, że samochód jest otwarty. Dodatkowo, jeśli byliby świadomi takich ataków, mogliby nawet usłyszeć, że drzwi nigdy nie wydały dźwięku blokady ani światła samochodu nie migały, gdy nacisnęli przycisk „zamknij”.

Atak Przechwytywania Kodów (zwany również 'RollJam')

To bardziej podstępna technika zakłócania. Atakujący zakłóci sygnał, więc gdy ofiara spróbuje zamknąć drzwi, nie zadziała, ale atakujący zarejestruje ten kod. Następnie ofiara spróbuje ponownie zamknąć samochód, naciskając przycisk, a samochód zarejestruje ten drugi kod. Natychmiast po tym atakujący może wysłać pierwszy kod i samochód się zamknie (ofiara myśli, że drugie naciśnięcie zamknęło go). Następnie atakujący będzie mógł wysłać drugi skradziony kod, aby otworzyć samochód (przy założeniu, że kod "zamknij samochód" można również użyć do otwarcia). Może być potrzebna zmiana częstotliwości (ponieważ są samochody, które używają tych samych kodów do otwierania i zamykania, ale nasłuchują obu poleceń na różnych częstotliwościach).

Atakujący może zakłócić odbiornik samochodu, a nie swój odbiornik, ponieważ jeśli odbiornik samochodu nasłuchuje na przykład w paśmie 1 MHz, atakujący nie zakłóci dokładnej częstotliwości używanej przez pilot, ale bliską w tym spektrum, podczas gdy odbiorca atakującego będzie nasłuchiwał w mniejszym zakresie, gdzie może słuchać sygnału pilota bez sygnału zakłócającego.

Inne implementacje pokazują, że kod zmiennoprzecinkowy stanowi część całkowitego wysłanego kodu. Innymi słowy, wysłany kod to klucz 24-bitowy, gdzie pierwsze 12 bitów to kod zmiennoprzecinkowy, drugie 8 to polecenie (takie jak zablokuj lub odblokuj), a ostatnie 4 to suma kontrolna. Pojazdy wdrażające ten typ są również naturalnie podatne, ponieważ atakujący musi jedynie zastąpić segment kodu zmiennoprzecinkowego, aby móc użyć dowolnego kodu zmiennoprzecinkowego na obu częstotliwościach.

Zauważ, że jeśli ofiara wyśle trzeci kod, gdy atakujący wysyła pierwszy, pierwszy i drugi kod zostaną unieważnione.

### Atak zakłócania alarmu dźwiękowego

Testowanie przeciwko systemowi kodów zmieniających zainstalowanemu w samochodzie, wysłanie tego samego kodu dwukrotnie natychmiast aktywowało alarm i immobilizer, co zapewniło unikalną możliwość odmowy usługi. Ironicznie, sposób wyłączenia alarmu i immobilizera polegał na naciśnięciu pilota, co dawało atakującemu możliwość ciągłego przeprowadzania ataku DoS. Lub połącz ten atak z poprzednim, aby uzyskać więcej kodów, ponieważ ofiara chciałaby jak najszybciej zatrzymać atak.

Referencje

Zacznij od zera i zostań ekspertem AWS w hakowaniu dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Last updated