Sub-GHz RF

Garage Doors

Відкривачі гаражних дверей зазвичай працюють на частотах в діапазоні 300-190 МГц, з найбільш поширеними частотами 300 МГц, 310 МГц, 315 МГц та 390 МГц. Цей діапазон частот зазвичай використовується для відкривачів гаражних дверей, оскільки він менш переповнений, ніж інші частотні діапазони, і менш ймовірно, що зазнає перешкод від інших пристроїв.

Car Doors

Більшість ключів автомобіля працюють на 315 МГц або 433 МГц. Це обидві радіочастоти, які використовуються в різних застосуваннях. Основна різниця між двома частотами полягає в тому, що 433 МГц має більший діапазон, ніж 315 МГц. Це означає, що 433 МГц краще підходить для застосувань, які вимагають більшого діапазону, таких як дистанційний безключовий доступ. В Європі зазвичай використовується 433.92 МГц, а в США та Японії - 315 МГц.

Brute-force Attack

Якщо замість того, щоб надсилати кожен код 5 разів (надсилається так, щоб переконатися, що приймач його отримує), надіслати його лише один раз, час зменшується до 6 хвилин:

і якщо ви видалите 2 мс очікування між сигналами, ви можете зменшити час до 3 хвилин.

Більше того, використовуючи послідовність Де Брюйна (спосіб зменшити кількість бітів, необхідних для надсилання всіх потенційних двійкових чисел для брутфорсу), цей час зменшується до 8 секунд:

Приклад цієї атаки був реалізований у https://github.com/samyk/opensesame

Вимога прембли уникне оптимізації послідовності Де Брюйна і кодові зміни запобігатимуть цій атаці (припускаючи, що код достатньо довгий, щоб не піддаватися брутфорсу).

Sub-GHz Attack

Щоб атакувати ці сигнали за допомогою Flipper Zero, перевірте:

Rolling Codes Protection

Автоматичні відкривачі гаражних дверей зазвичай використовують бездротовий пульт дистанційного керування для відкриття та закриття гаражних дверей. Пульт дистанційного керування надсилає радіочастотний (RF) сигнал до відкривача гаражних дверей, який активує мотор для відкриття або закриття дверей.

Можливо, що хтось використовує пристрій, відомий як кодовий захоплювач, щоб перехопити RF сигнал і записати його для подальшого використання. Це відомо як атака повтору. Щоб запобігти такій атаці, багато сучасних відкривачів гаражних дверей використовують більш безпечний метод шифрування, відомий як система кодових змін.

RF сигнал зазвичай передається за допомогою коду змін, що означає, що код змінюється з кожним використанням. Це ускладнює перехоплення сигналу і використання його для отримання неавторизованого доступу до гаража.

У системі кодових змін пульт дистанційного керування та відкривач гаражних дверей мають спільний алгоритм, який генерує новий код щоразу, коли пульт використовується. Відкривач гаражних дверей реагуватиме лише на правильний код, що ускладнює отримання неавторизованого доступу до гаража лише шляхом захоплення коду.

Missing Link Attack

В основному, ви слухаєте кнопку і захоплюєте сигнал, поки пульт знаходиться поза зоною дії пристрою (скажімо, автомобіля або гаража). Потім ви переходите до пристрою і використовуєте захоплений код, щоб відкрити його.

Full Link Jamming Attack

Зловмисник може глушити сигнал поблизу автомобіля або приймача, так що приймач насправді не може "почути" код, і коли це відбувається, ви можете просто захопити та повторити код, коли ви зупинили глушіння.

Жертва в якийсь момент використає ключі, щоб заблокувати автомобіль, але потім атака запише достатньо "закритих дверей" кодів, які, сподіваюся, можуть бути повторно надіслані, щоб відкрити двері (можливо, знадобиться зміна частоти, оскільки є автомобілі, які використовують ті ж коди для відкриття та закриття, але слухають обидва команди на різних частотах).

Code Grabbing Attack ( aka ‘RollJam’ )

Це більш прихована техніка глушіння. Зловмисник буде глушити сигнал, тому, коли жертва намагається заблокувати двері, це не спрацює, але зловмисник запише цей код. Потім жертва знову спробує заблокувати автомобіль, натискаючи кнопку, і автомобіль запише цей другий код. Миттєво після цього зловмисник може надіслати перший код, і автомобіль заблокується (жертва подумає, що другий натиск закрив його). Потім зловмисник зможе надіслати другий вкрадений код, щоб відкрити автомобіль (припускаючи, що код "закриття автомобіля" також може бути використаний для його відкриття). Може знадобитися зміна частоти (оскільки є автомобілі, які використовують ті ж коди для відкриття та закриття, але слухають обидва команди на різних частотах).

Зловмисник може глушити приймач автомобіля, а не свій приймач, оскільки якщо приймач автомобіля слухає, наприклад, на широкосмуговій частоті 1 МГц, зловмисник не глушитиме точну частоту, що використовується пультом, а близьку в цьому спектрі, в той час як приймач зловмисника слухатиме на меншій діапазоні, де він може слухати сигнал пульта без сигналу глушіння.

Alarm Sounding Jamming Attack

Тестуючи проти системи коду зміни, встановленої на автомобілі, надсилання одного й того ж коду двічі негайно активувало сигналізацію та іммобілізатор, надаючи унікальну можливість відмови в обслуговуванні. Іронічно, засіб відключення сигналізації та іммобілізатора полягав у натисканні пульта, що надає зловмиснику можливість постійно виконувати атаку DoS. Або змішати цю атаку з попередньою, щоб отримати більше кодів, оскільки жертва хотіла б зупинити атаку якомога швидше.

References

• https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/

• https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/

• https://samy.pl/defcon2015/

• https://hackaday.io/project/164566-how-to-hack-a-car/details