hacktricks/todo/radio-hacking/sub-ghz-rf.md

9.7 KiB
Raw Blame History

Sub-GHz RF

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Garage Doors

Vifaa vya kufungua milango ya garaji kwa kawaida vinatumia masafa katika anuwai ya 300-190 MHz, ambapo masafa ya kawaida ni 300 MHz, 310 MHz, 315 MHz, na 390 MHz. Anuwai hii ya masafa inatumika sana kwa sababu ni ya chini zaidi ikilinganishwa na bendi nyingine za masafa na ina uwezekano mdogo wa kukutana na usumbufu kutoka kwa vifaa vingine.

Car Doors

Vifaa vingi vya funguo za magari vinatumia 315 MHz au 433 MHz. Hizi ni masafa ya redio, na zinatumika katika matumizi mbalimbali tofauti. Tofauti kuu kati ya masafa haya mawili ni kwamba 433 MHz ina anuwai ndefu zaidi kuliko 315 MHz. Hii inamaanisha kwamba 433 MHz ni bora kwa matumizi yanayohitaji anuwai ndefu, kama vile kuingia bila funguo.
Katika Ulaya 433.92MHz inatumika sana na nchini Marekani na Japani ni 315MHz.

Brute-force Attack

Ikiwa badala ya kutuma kila msimbo mara 5 (tumewekwa hivi ili kuhakikisha mpokeaji anaupata) unatumia kutuma mara moja tu, muda unakuwa wa dakika 6:

na ikiwa unafuta kipindi cha kusubiri cha 2 ms kati ya ishara unaweza kupunguza muda hadi dakika 3.

Zaidi ya hayo, kwa kutumia Mfuatano wa De Bruijn (njia ya kupunguza idadi ya bits zinazohitajika kutuma nambari zote za binary zinazoweza kutumika kwa brute force) muda huu unakuwa wa sekunde 8 tu:

Mfano wa shambulio hili ulitekelezwa katika https://github.com/samyk/opensesame

Kuhitaji preamble kutazuia uboreshaji wa Mfuatano wa De Bruijn na nambari zinazozunguka zitalinda shambulio hili (ikiwa nambari ni ndefu vya kutosha ili isiweze kufanywa brute force).

Sub-GHz Attack

Ili kushambulia ishara hizi kwa Flipper Zero angalia:

{% content-ref url="flipper-zero/fz-sub-ghz.md" %} fz-sub-ghz.md {% endcontent-ref %}

Rolling Codes Protection

Vifaa vya kufungua milango ya garaji kwa kawaida vinatumia kidhibiti cha mbali cha wireless kufungua na kufunga mlango wa garaji. Kidhibiti cha mbali kinatuma ishara ya masafa ya redio (RF) kwa kifaa cha kufungua mlango wa garaji, ambacho kinaanzisha motor kufungua au kufunga mlango.

Inawezekana kwa mtu kutumia kifaa kinachojulikana kama code grabber kukamata ishara ya RF na kuirekodi kwa matumizi ya baadaye. Hii inajulikana kama replay attack. Ili kuzuia aina hii ya shambulio, vifaa vingi vya kisasa vya kufungua milango ya garaji vinatumia njia salama zaidi ya usimbaji inayoitwa rolling code.

Ishara ya RF kwa kawaida inatumika kwa kutumia nambari inayozunguka, ambayo inamaanisha kwamba nambari hubadilika kila wakati inapotumika. Hii inafanya iwe ngumu kwa mtu kukamata ishara na kuitumia kupata ufikiaji usioidhinishwa kwa garaji.

Katika mfumo wa nambari zinazozunguka, kidhibiti cha mbali na kifaa cha kufungua mlango wa garaji vina algorithms zinazoshirikiwa ambazo zinaunda nambari mpya kila wakati kidhibiti kinapotumika. Kifaa cha kufungua mlango wa garaji kitajibu tu kwa nambari sahihi, na kufanya iwe ngumu zaidi kwa mtu kupata ufikiaji usioidhinishwa kwa garaji kwa kukamata nambari tu.

Kimsingi, unakusikia kwa kitufe na kukamata ishara wakati kidhibiti kiko nje ya anuwai ya kifaa (kama gari au garaji). Kisha unahamia kwenye kifaa na kutumia nambari iliyokamatwa kufungua.

Mshambuliaji anaweza kuzuia ishara karibu na gari au mpokeaji ili mpokeaji asisikilize nambari, na mara hiyo ikitokea unaweza tu kukamata na kurudisha nambari wakati umesitisha kuzuiwa.

Mtu aliyeathirika kwa wakati fulani atatumia funguo kufunga gari, lakini kisha shambulio litakuwa limerekodi nambari za "fungua mlango" ambazo kwa matumaini zinaweza kutumwa tena kufungua mlango (mabadiliko ya masafa yanaweza kuhitajika kwani kuna magari yanayotumia nambari sawa kufungua na kufunga lakini yanakusikiliza amri zote mbili katika masafa tofauti).

{% hint style="warning" %} Kuzuiwa kunafanya kazi, lakini kuna dalili kwani ikiwa mtu anayefunga gari anajaribu milango ili kuhakikisha zimefungwa wangeona gari likiwa wazi. Zaidi ya hayo, ikiwa wangejua kuhusu mashambulizi kama haya wangeweza hata kusikia ukweli kwamba milango hazikutoa sauti ya kufunga au mwanga wa magari haukudunda wakati walipobonyeza kitufe cha fungua. {% endhint %}

Code Grabbing Attack ( aka RollJam )

Hii ni mbinu ya kuzuiwa ya siri zaidi. Mshambuliaji atazuiya ishara, hivyo wakati mtu aliyeathirika anajaribu kufunga mlango haitafanya kazi, lakini mshambuliaji atarekodi nambari hii. Kisha, mtu aliyeathirika atajaribu kufunga gari tena kwa kubonyeza kitufe na gari litarekodi nambari hii ya pili.
Mara moja baada ya hii mshambuliaji anaweza kutuma nambari ya kwanza na gari litafungwa (mtu aliyeathirika atadhani kubonyeza pili kumefunga). Kisha, mshambuliaji ataweza kutuma nambari ya pili iliyoporwa kufungua gari (ikiwa "nambari ya kufunga gari" inaweza pia kutumika kufungua). Mabadiliko ya masafa yanaweza kuhitajika (kama kuna magari yanayotumia nambari sawa kufungua na kufunga lakini yanakusikiliza amri zote mbili katika masafa tofauti).

Mshambuliaji anaweza kuzuiya mpokeaji wa gari na si mpokeaji wake kwa sababu ikiwa mpokeaji wa gari unasikiliza kwa mfano katika broadband ya 1MHz, mshambuliaji hata zuiya masafa halisi yanayotumiwa na kidhibiti lakini masafa ya karibu katika anuwai hiyo wakati mpokeaji wa mshambuliaji utakuwa unasikiliza katika anuwai ndogo ambapo anaweza kusikia ishara ya kidhibiti bila ishara ya kuzuiwa.

{% hint style="warning" %} Utekelezaji mwingine ulioonekana katika maelezo unaonyesha kwamba nambari inayozunguka ni sehemu ya jumla ya nambari inayotumwa. Yaani, nambari inayotumwa ni funguo ya 24 bit ambapo 12 za kwanza ni nambari inayozunguka, 8 za pili ni amri (kama kufunga au kufungua) na 4 za mwisho ni checksum. Magari yanayotekeleza aina hii pia yanahatarishwa kwa sababu mshambuliaji anahitaji tu kubadilisha sehemu ya nambari inayozunguka ili aweze kutumia nambari yoyote inayozunguka katika masafa yote mawili. {% endhint %}

{% hint style="danger" %} Kumbuka kwamba ikiwa mtu aliyeathirika atatuma nambari ya tatu wakati mshambuliaji anatuma ya kwanza, nambari ya kwanza na ya pili zitakuwa batili. {% endhint %}

Alarm Sounding Jamming Attack

Kujaribu dhidi ya mfumo wa nambari zinazozunguka uliowekwa kwenye gari, kutuma nambari ile ile mara mbili mara moja kulizindua alamu na immobiliser ikitoa fursa ya kipekee ya kukataa huduma. Kwa bahati mbaya, njia ya kuzimisha alamu na immobiliser ilikuwa kubonyeza kidhibiti, ikimpa mshambuliaji uwezo wa kufanya shambulio la DoS mara kwa mara. Au changanya shambulio hili na la awali ili kupata nambari zaidi kwani mtu aliyeathirika angependa kusitisha shambulio haraka iwezekanavyo.

References

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}