mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
88 lines
6.3 KiB
Markdown
88 lines
6.3 KiB
Markdown
# Sub-GHz RF
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|
||
|
||
## Garage Doors
|
||
|
||
车库门开启器通常在300-190 MHz范围内工作,最常见的频率为300 MHz、310 MHz、315 MHz和390 MHz。这个频率范围通常用于车库门开启器,因为它比其他频段更不拥挤,并且不太可能受到其他设备的干扰。
|
||
|
||
## Car Doors
|
||
|
||
大多数汽车钥匙遥控器工作在**315 MHz或433 MHz**。这两者都是无线电频率,广泛用于不同的应用。两个频率之间的主要区别是433 MHz的范围比315 MHz更长。这意味着433 MHz更适合需要更长范围的应用,例如远程无钥匙进入。\
|
||
在欧洲,433.92MHz是常用的,而在美国和日本则是315MHz。
|
||
|
||
## **Brute-force Attack**
|
||
|
||
<figure><img src="../../images/image (1084).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
如果不发送每个代码5次(这样发送是为了确保接收器能接收到),而只发送一次,时间将减少到6分钟:
|
||
|
||
<figure><img src="../../images/image (622).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
如果你**去掉信号之间的2毫秒等待**时间,你可以**将时间减少到3分钟。**
|
||
|
||
此外,通过使用De Bruijn序列(减少发送所有潜在二进制数字所需的位数的方法),这个**时间仅减少到8秒**:
|
||
|
||
<figure><img src="../../images/image (583).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
此攻击的示例已在[https://github.com/samyk/opensesame](https://github.com/samyk/opensesame)中实现。
|
||
|
||
要求**前导码将避免De Bruijn序列**优化,而**滚动代码将防止此攻击**(假设代码足够长,不易被暴力破解)。
|
||
|
||
## Sub-GHz Attack
|
||
|
||
要攻击这些信号,请检查Flipper Zero:
|
||
|
||
{{#ref}}
|
||
flipper-zero/fz-sub-ghz.md
|
||
{{#endref}}
|
||
|
||
## Rolling Codes Protection
|
||
|
||
自动车库门开启器通常使用无线遥控器来打开和关闭车库门。遥控器**发送无线电频率(RF)信号**到车库门开启器,激活电机以打开或关闭门。
|
||
|
||
有人可以使用称为代码抓取器的设备来拦截RF信号并记录以备后用。这被称为**重放攻击**。为了防止这种攻击,许多现代车库门开启器使用一种更安全的加密方法,称为**滚动代码**系统。
|
||
|
||
**RF信号通常使用滚动代码传输**,这意味着每次使用时代码都会变化。这使得**拦截**信号并**使用**它来获得**未授权**访问车库变得**困难**。
|
||
|
||
在滚动代码系统中,遥控器和车库门开启器有一个**共享算法**,每次使用遥控器时**生成一个新代码**。车库门开启器只会对**正确代码**做出响应,这使得仅通过捕获代码就获得未授权访问车库变得更加困难。
|
||
|
||
### **Missing Link Attack**
|
||
|
||
基本上,你监听按钮并**在遥控器超出设备范围时捕获信号**(比如汽车或车库)。然后你移动到设备并**使用捕获的代码打开它**。
|
||
|
||
### Full Link Jamming Attack
|
||
|
||
攻击者可以**在车辆或接收器附近干扰信号**,使得**接收器无法真正“听到”代码**,一旦发生这种情况,你可以简单地**捕获并重放**代码,当你停止干扰时。
|
||
|
||
受害者在某个时刻会使用**钥匙锁定汽车**,但攻击者将**记录足够的“关门”代码**,希望能够重新发送以打开门(可能需要**更改频率**,因为有些汽车使用相同的代码来打开和关闭,但在不同频率下监听两个命令)。
|
||
|
||
> [!WARNING]
|
||
> **干扰有效**,但很明显,如果**锁车的人只是测试车门**以确保它们被锁上,他们会注意到汽车未锁。此外,如果他们意识到这种攻击,他们甚至可以听到车门在按下“锁定”按钮时从未发出锁定**声音**或汽车**灯光**在按下时从未闪烁。
|
||
|
||
### **Code Grabbing Attack ( aka ‘RollJam’ )**
|
||
|
||
这是一种更**隐蔽的干扰技术**。攻击者将干扰信号,因此当受害者尝试锁门时将无法工作,但攻击者会**记录此代码**。然后,受害者将**再次尝试锁定汽车**,按下按钮,汽车将**记录第二个代码**。\
|
||
紧接着,**攻击者可以发送第一个代码**,然后**汽车将锁定**(受害者会认为第二次按下锁定了)。然后,攻击者将能够**发送第二个被盗代码以打开**汽车(假设**“关车”代码也可以用于打开它**)。可能需要更改频率(因为有些汽车使用相同的代码来打开和关闭,但在不同频率下监听两个命令)。
|
||
|
||
攻击者可以**干扰汽车接收器而不是他的接收器**,因为如果汽车接收器在例如1MHz宽带中监听,攻击者不会**干扰**遥控器使用的确切频率,而是**在该频谱中的一个接近频率**,同时**攻击者的接收器将在更小的范围内监听**,他可以在**没有干扰信号**的情况下监听遥控器信号。
|
||
|
||
> [!WARNING]
|
||
> 其他实施方案在规格中显示,**滚动代码是发送的总代码的一部分**。即发送的代码是一个**24位密钥**,其中前**12位是滚动代码**,**第二个8位是命令**(如锁定或解锁),最后4位是**校验和**。实施这种类型的车辆也自然容易受到攻击,因为攻击者只需替换滚动代码段即可在两个频率上**使用任何滚动代码**。
|
||
|
||
> [!CAUTION]
|
||
> 请注意,如果受害者在攻击者发送第一个代码时发送第三个代码,则第一个和第二个代码将失效。
|
||
|
||
### Alarm Sounding Jamming Attack
|
||
|
||
在对安装在汽车上的后市场滚动代码系统进行测试时,**立即发送相同的代码两次**会**激活警报**和防盗装置,提供了一个独特的**拒绝服务**机会。具有讽刺意味的是,**禁用警报**和防盗装置的方法是**按下**遥控器,这使得攻击者能够**持续执行DoS攻击**。或者将此攻击与**前一个攻击结合以获取更多代码**,因为受害者希望尽快停止攻击。
|
||
|
||
## References
|
||
|
||
- [https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/](https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/)
|
||
- [https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/](https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/)
|
||
- [https://samy.pl/defcon2015/](https://samy.pl/defcon2015/)
|
||
- [https://hackaday.io/project/164566-how-to-hack-a-car/details](https://hackaday.io/project/164566-how-to-hack-a-car/details)
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|