HackTricksSub-GHz RF
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Puertas de Garaje
Los abridores de puertas de garaje suelen operar en frecuencias en el rango de 300-190 MHz, siendo las frecuencias m谩s comunes 300 MHz, 310 MHz, 315 MHz y 390 MHz. Este rango de frecuencia se utiliza com煤nmente para abridores de puertas de garaje porque est谩 menos congestionado que otras bandas de frecuencia y es menos probable que experimente interferencias de otros dispositivos.
Puertas de Autom贸viles
La mayor铆a de los llaveros de autom贸viles operan en 315 MHz o 433 MHz. Estas son ambas frecuencias de radio, y se utilizan en una variedad de aplicaciones diferentes. La principal diferencia entre las dos frecuencias es que 433 MHz tiene un rango m谩s largo que 315 MHz. Esto significa que 433 MHz es mejor para aplicaciones que requieren un rango m谩s largo, como el acceso remoto sin llave.
En Europa, 433.92MHz se utiliza com煤nmente y en EE. UU. y Jap贸n es 315MHz.
Ataque de Fuerza Bruta
.png)
Si en lugar de enviar cada c贸digo 5 veces (enviado as铆 para asegurarse de que el receptor lo reciba) se env铆a solo una vez, el tiempo se reduce a 6 minutos:
.png)
y si elimina el per铆odo de espera de 2 ms entre se帽ales, puede reducir el tiempo a 3 minutos.
Adem谩s, al usar la Secuencia de De Bruijn (una forma de reducir el n煤mero de bits necesarios para enviar todos los n煤meros binarios potenciales para la fuerza bruta), este tiempo se reduce a solo 8 segundos:
.png)
Un ejemplo de este ataque fue implementado en https://github.com/samyk/opensesame
Requerir un pre谩mbulo evitar谩 la optimizaci贸n de la Secuencia de De Bruijn y los c贸digos rodantes evitar谩n este ataque (suponiendo que el c贸digo sea lo suficientemente largo como para no ser susceptible a la fuerza bruta).
Ataque Sub-GHz
Para atacar estas se帽ales con Flipper Zero, consulte:
Protecci贸n de C贸digos Rodantes
Los abridores autom谩ticos de puertas de garaje suelen utilizar un control remoto inal谩mbrico para abrir y cerrar la puerta del garaje. El control remoto env铆a una se帽al de frecuencia de radio (RF) al abridor de la puerta del garaje, que activa el motor para abrir o cerrar la puerta.
Es posible que alguien use un dispositivo conocido como un code grabber para interceptar la se帽al RF y grabarla para su uso posterior. Esto se conoce como un ataque de repetici贸n. Para prevenir este tipo de ataque, muchos abridores de puertas de garaje modernos utilizan un m茅todo de cifrado m谩s seguro conocido como un sistema de c贸digo rodante.
La se帽al RF se transmite t铆picamente utilizando un c贸digo rodante, lo que significa que el c贸digo cambia con cada uso. Esto hace que sea dif铆cil para alguien interceptar la se帽al y utilizarla para obtener acceso no autorizado al garaje.
En un sistema de c贸digo rodante, el control remoto y el abridor de la puerta del garaje tienen un algoritmo compartido que genera un nuevo c贸digo cada vez que se utiliza el control remoto. El abridor de la puerta del garaje solo responder谩 al c贸digo correcto, lo que dificulta mucho que alguien obtenga acceso no autorizado al garaje solo capturando un c贸digo.
Ataque de Enlace Perdido
B谩sicamente, escuchas el bot贸n y capturas la se帽al mientras el control remoto est谩 fuera del alcance del dispositivo (digamos el autom贸vil o el garaje). Luego te mueves hacia el dispositivo y utilizas el c贸digo capturado para abrirlo.
Ataque de Jamming de Enlace Completo
Un atacante podr铆a interferir la se帽al cerca del veh铆culo o receptor para que el receptor no pueda realmente 'escuchar' el c贸digo, y una vez que eso est茅 sucediendo, puedes simplemente capturar y reproducir el c贸digo cuando hayas dejado de interferir.
La v铆ctima en alg煤n momento usar谩 las llaves para cerrar el autom贸vil, pero luego el ataque habr谩 grabado suficientes c贸digos de "cerrar puerta" que, con suerte, podr铆an ser reenviados para abrir la puerta (puede ser necesario un cambio de frecuencia ya que hay autom贸viles que utilizan los mismos c贸digos para abrir y cerrar pero escuchan ambos comandos en diferentes frecuencias).
warning
La interferencia funciona, pero es notable, ya que si la persona que cierra el autom贸vil simplemente prueba las puertas para asegurarse de que est谩n cerradas, notar铆a que el autom贸vil est谩 desbloqueado. Adem谩s, si estuvieran al tanto de tales ataques, incluso podr铆an escuchar el hecho de que las puertas nunca hicieron el sonido de bloqueo o que las luces del autom贸vil nunca parpadearon cuando presionaron el bot贸n de 'bloquear'.
Ataque de Captura de C贸digo (tambi茅n conocido como 'RollJam')
Esta es una t茅cnica de interferencia m谩s sigilosa. El atacante interferir谩 la se帽al, de modo que cuando la v铆ctima intente cerrar la puerta, no funcione, pero el atacante grabar谩 este c贸digo. Luego, la v铆ctima intenta cerrar el autom贸vil nuevamente presionando el bot贸n y el autom贸vil grabar谩 este segundo c贸digo.
Instant谩neamente despu茅s de esto, el atacante puede enviar el primer c贸digo y el autom贸vil se cerrar谩 (la v铆ctima pensar谩 que la segunda presi贸n lo cerr贸). Luego, el atacante podr谩 enviar el segundo c贸digo robado para abrir el autom贸vil (suponiendo que un c贸digo de "cerrar autom贸vil" tambi茅n se puede usar para abrirlo). Puede ser necesario un cambio de frecuencia (ya que hay autom贸viles que utilizan los mismos c贸digos para abrir y cerrar pero escuchan ambos comandos en diferentes frecuencias).
El atacante puede interferir el receptor del autom贸vil y no su receptor porque si el receptor del autom贸vil est谩 escuchando, por ejemplo, en un ancho de banda de 1MHz, el atacante no interferir谩 la frecuencia exacta utilizada por el control remoto, sino una cercana en ese espectro, mientras que el receptor del atacante estar谩 escuchando en un rango m谩s peque帽o donde puede escuchar la se帽al del control remoto sin la se帽al de interferencia.
warning
Otras implementaciones vistas en especificaciones muestran que el c贸digo rodante es una porci贸n del c贸digo total enviado. Es decir, el c贸digo enviado es una clave de 24 bits donde los primeros 12 son el c贸digo rodante, los 8 segundos son el comando (como bloquear o desbloquear) y los 煤ltimos 4 son el checksum. Los veh铆culos que implementan este tipo tambi茅n son naturalmente susceptibles, ya que el atacante solo necesita reemplazar el segmento del c贸digo rodante para poder usar cualquier c贸digo rodante en ambas frecuencias.
caution
Tenga en cuenta que si la v铆ctima env铆a un tercer c贸digo mientras el atacante est谩 enviando el primero, el primer y segundo c贸digo ser谩n invalidados.
Ataque de Jamming de Sonido de Alarma
Al probar un sistema de c贸digo rodante de posventa instalado en un autom贸vil, enviar el mismo c贸digo dos veces inmediatamente activ贸 la alarma y el inmovilizador, proporcionando una 煤nica oportunidad de denegaci贸n de servicio. Ir贸nicamente, el medio para desactivar la alarma y el inmovilizador era presionar el control remoto, proporcionando al atacante la capacidad de realizar continuamente un ataque de DoS. O mezclar este ataque con el anterior para obtener m谩s c贸digos, ya que la v铆ctima querr铆a detener el ataque lo antes posible.
Referencias
- https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/
- https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/
- https://samy.pl/defcon2015/
- https://hackaday.io/project/164566-how-to-hack-a-car/details
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.