Гаражні двері

Відкривачі гаражних дверей зазвичай працюють на частотах у діапазоні 300-190 МГц, найпоширеніші частоти - 300 МГц, 310 МГц, 315 МГц та 390 МГц. Цей діапазон частот часто використовується для відкривачів гаражних дверей, оскільки він менше перенаселений, ніж інші діапазони частот і менше схильний до перешкод від інших пристроїв.

Двері автомобіля

Більшість ключів від автомобіля працюють на частотах 315 МГц або 433 МГц. Це обидві радіочастоти, які використовуються в різних застосуваннях. Основна відмінність між цими двома частотами полягає в тому, що 433 МГц має більший дальній зв'язок, ніж 315 МГц. Це означає, що 433 МГц краще підходить для застосувань, які вимагають більшого дальнього зв'язку, таких як віддалене безключове відкриття.

У Європі часто використовується 433,92 МГц, а в США та Японії - 315 МГц.

Атака методом брутфорс

Якщо замість відправки кожного коду 5 разів (відправлено так, щоб переконатися, що приймач отримує його), відправити його лише один раз, час скорочується до 6 хвилин:

і якщо ви вилучите 2 мс очікування між сигналами, ви можете зменшити час до 3 хвилин.

Більше того, використовуючи послідовність Де Брюйна (спосіб зменшення кількості бітів, необхідних для відправлення всіх потенційних двійкових чисел для брутфорсу), цей час зменшується всього до 8 секунд:

Приклад цієї атаки був реалізований в https://github.com/samyk/opensesame

Вимагання преамбули уникне оптимізації послідовності Де Брюйна і рухомі коди запобігають цій атакі (припускаючи, що код досить довгий, щоб його не можна було брутфорсити).

Атака на піддіапазон RF

Для атаки на ці сигнали за допомогою Flipper Zero перевірте:

Захист від рухомих кодів

Автоматичні відкривачі гаражних дверей зазвичай використовують бездротовий пульт дистанційного керування для відкриття та закриття гаражних дверей. Пульт дистанційного керування відправляє радіочастотний (RF) сигнал до відкривача гаражних дверей, який активує двигун для відкриття або закриття дверей.

Є можливість використання пристрою, відомого як грабитель коду, для перехоплення радіочастотного сигналу та запису його для подальшого використання. Це відомо як атака повторного відтворення. Для запобігання цього типу атак багато сучасних відкривачів гаражних дверей використовують більш безпечний метод шифрування, відомий як система рухомих кодів.

RF сигнал зазвичай передається за допомогою рухомого коду, що означає, що код змінюється з кожним використанням. Це робить складним для когось перехопити сигнал і використати його для несанкціонованого доступу до гаражу.

У системі рухомого коду пульт дистанційного керування та відкривач гаражних дверей мають спільний алгоритм, який генерує новий код кожного разу, коли використовується пульт. Відкривач гаражних дверей відповість лише на правильний код, що робить набагато складнішим для когось отримати несанкціонований доступ до гаражу, просто захопивши код.

Атака на відсутній зв'язок

Зазвичай ви прослуховуєте кнопку та захоплюєте сигнал, коли пульт дистанційного керування знаходиться поза зоною дії пристрою (наприклад, автомобіль або гараж). Потім ви переходите до пристрою та використовуєте захоплений код для відкриття його.

Повна атака на перешкоди в зв'язку

Атакуючий може перешкоджати сигнал біля автомобіля або приймача, щоб приймач фактично не міг «почути» код, і як тільки це станеться, ви можете просто захопити і відтворити код, коли припините перешкоджати.

Жертва в певний момент використає ключі для закриття автомобіля, але тоді атака буде записувати достатньо кодів "закрити двері", які, сподіваємося, можна буде відправити для відкриття дверей (можливо, знадобиться зміна частоти, оскільки є автомобілі, які використовують ті ж коди для відкриття та закриття, але слухають обидва команди на різних частотах).

Атака захоплення коду (також відома як 'RollJam')

Це більш прихований метод перешкоджання. Атакуючий буде перешкоджати сигнал, тому коли жертва спробує закрити двері, це не вдасться, але атакуючий запише цей код. Потім жертва спробує знову закрити автомобіль, натиснувши кнопку, і автомобіль запише цей другий код. Тут же атакуючий може відправити перший код, і автомобіль закриється (жертва подумає, що друге натискання закрило його). Потім атакуючий зможе відправити другий вкрадений код для відкриття автомобіля (припускаючи, що код "закрити автомобіль" також можна використовувати для відкриття). Можлива зміна частоти (оскільки є автомобілі, які використовують ті ж коди для відкриття та закриття, але слухають обидва команди на різних частотах).

Атакуючий може перешкоджати приймач автомобіля, а не свій приймач, оскільки, якщо приймач автомобіля слухає, наприклад, 1 МГц широкосмуговий сигнал, атакуючий не перешкоджатиме точну частоту, використану пультом, а близьку в тому спектрі, тоді як приймач атакуючого буде слухати в меншому діапазоні, де він може слухати сигнал пульта без сигналу перешкоджання.

### Атака на блокування сигналу тривоги

Під час тестування проти післяпродажної системи з кодом змінного коду, встановленої на автомобіль, відправлення того самого коду двічі негайно активувало сигнал тривоги та імобілізатор, надаючи унікальну можливість відмови в обслуговуванні. Іронічно, засіб вимкнення сигналу тривоги та імобілізатора полягав у натисканні пульта, що надає зловмиснику можливість постійно виконувати атаку DoS. Або поєднайте цю атаку з попередньою, щоб отримати більше кодів, оскільки жертва захоче якнайшвидше зупинити атаку.

Посилання

• https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/

• https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/

• https://samy.pl/defcon2015/

• https://hackaday.io/project/164566-how-to-hack-a-car/details