8.6 KiB
Sub-GHz RF
{% hint style="success" %}
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
Garage Doors
车库门开关通常在 300-190 MHz 范围内工作,最常见的频率为 300 MHz、310 MHz、315 MHz 和 390 MHz。这个频率范围通常用于车库门开关,因为它比其他频段更不拥挤,并且不太可能受到其他设备的干扰。
Car Doors
大多数汽车钥匙遥控器工作在 315 MHz 或 433 MHz。这两者都是无线电频率,广泛用于各种不同的应用。两个频率之间的主要区别是 433 MHz 的范围比 315 MHz 更长。这意味着 433 MHz 更适合需要更长范围的应用,例如远程无钥匙进入。
在欧洲,常用 433.92MHz,而在美国和日本则是 315MHz。
Brute-force Attack
如果不发送每个代码 5 次(这样发送是为了确保接收器能接收到),而只发送一次,时间将减少到 6 分钟:
如果你 去掉信号之间的 2 毫秒等待,你可以 将时间减少到 3 分钟。
此外,通过使用 De Bruijn 序列(减少发送所有潜在二进制数字所需的位数的方法),这个 时间仅减少到 8 秒:
此攻击的示例已在 https://github.com/samyk/opensesame 中实现。
要求 前导码将避免 De Bruijn 序列 优化,而 滚动代码将防止此攻击(假设代码足够长,不易被暴力破解)。
Sub-GHz Attack
要攻击这些信号,请查看 Flipper Zero:
{% content-ref url="flipper-zero/fz-sub-ghz.md" %} fz-sub-ghz.md {% endcontent-ref %}
Rolling Codes Protection
自动车库门开关通常使用无线遥控器来打开和关闭车库门。遥控器 发送无线电频率 (RF) 信号 到车库门开关,激活电机以打开或关闭门。
有人可能会使用称为代码抓取器的设备来拦截 RF 信号并记录以备后用。这被称为 重放攻击。为了防止这种攻击,许多现代车库门开关使用一种更安全的加密方法,称为 滚动代码 系统。
RF 信号通常使用滚动代码进行传输,这意味着代码在每次使用时都会更改。这使得 拦截 信号并 利用 它获得 未授权 访问车库变得 困难。
在滚动代码系统中,遥控器和车库门开关有一个 共享算法,每次使用遥控器时 生成一个新代码。车库门开关只会对 正确代码 作出响应,这使得仅通过捕获代码就获得未授权访问车库变得更加困难。
Missing Link Attack
基本上,你监听按钮并 在遥控器超出设备范围时捕获信号(比如汽车或车库)。然后你移动到设备并 使用捕获的代码打开它。
Full Link Jamming Attack
攻击者可以 在车辆或接收器附近干扰信号,使得 接收器无法真正“听到”代码,一旦发生这种情况,你可以简单地 捕获并重放 代码,当你停止干扰时。
受害者在某个时刻会使用 钥匙锁定汽车,但攻击者将 记录足够的“关门”代码,希望能够重新发送以打开门(可能需要 更改频率,因为有些汽车使用相同的代码来开关,但在不同频率下监听两个命令)。
{% hint style="warning" %} 干扰有效,但很明显,因为如果 锁车的人简单地测试车门 以确保它们被锁定,他们会注意到汽车未锁。此外,如果他们意识到这种攻击,他们甚至可以听到车门从未发出锁定的 声音 或汽车的 灯光 在他们按下“锁定”按钮时从未闪烁。 {% endhint %}
Code Grabbing Attack ( aka ‘RollJam’ )
这是一种更 隐蔽的干扰技术。攻击者将干扰信号,因此当受害者尝试锁门时将无法工作,但攻击者会 记录此代码。然后,受害者将 再次尝试锁定汽车,按下按钮,汽车将 记录第二个代码。
紧接着,攻击者可以发送第一个代码,然后 汽车将锁定(受害者会认为第二次按下锁定了)。然后,攻击者将能够 发送第二个被盗代码以打开 汽车(假设 “关车”代码也可以用来打开它)。可能需要更改频率(因为有些汽车使用相同的代码来开关,但在不同频率下监听两个命令)。
攻击者可以 干扰汽车接收器而不是他的接收器,因为如果汽车接收器在例如 1MHz 宽带中监听,攻击者不会 干扰 遥控器使用的确切频率,而是 在该频谱中的一个接近频率,同时 攻击者的接收器将在更小的范围内监听,他可以在 没有干扰信号 的情况下监听遥控信号。
{% hint style="warning" %} 其他规格中的实现显示 滚动代码是发送的总代码的一部分。即发送的代码是 24 位密钥,其中前 12 位是滚动代码,第二个 8 位是命令(如锁定或解锁),最后 4 位是 校验和。实施这种类型的车辆也自然容易受到攻击,因为攻击者只需替换滚动代码段即可 在两个频率上使用任何滚动代码。 {% endhint %}
{% hint style="danger" %} 请注意,如果受害者在攻击者发送第一个代码时发送第三个代码,则第一个和第二个代码将失效。 {% endhint %}
Alarm Sounding Jamming Attack
针对安装在汽车上的后市场滚动代码系统进行测试,立即发送相同的代码两次 激活了警报 和防盗装置,提供了一个独特的 拒绝服务 机会。讽刺的是,禁用警报 和防盗装置的方法是 按下 遥控器,这使得攻击者能够 持续执行 DoS 攻击。或者将此攻击与 前一个攻击结合以获取更多代码,因为受害者希望尽快停止攻击。
References
- https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/
- https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/
- https://samy.pl/defcon2015/
- https://hackaday.io/project/164566-how-to-hack-a-car/details
{% hint style="success" %}
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。