HackTricksSub-GHz RF
Reading time: 8 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
Garage Doors
गैरेज दरवाजे के ओपनर आमतौर पर 300-190 मेगाहर्ट्ज की आवृत्तियों पर काम करते हैं, जिनमें सबसे सामान्य आवृत्तियाँ 300 मेगाहर्ट्ज, 310 मेगाहर्ट्ज, 315 मेगाहर्ट्ज, और 390 मेगाहर्ट्ज हैं। यह आवृत्ति रेंज गैरेज दरवाजे के ओपनर के लिए सामान्यतः उपयोग की जाती है क्योंकि यह अन्य आवृत्ति बैंड की तुलना में कम भीड़भाड़ वाली होती है और अन्य उपकरणों से हस्तक्षेप का अनुभव करने की संभावना कम होती है।
Car Doors
अधिकांश कार की चाबी के फॉब्स 315 मेगाहर्ट्ज या 433 मेगाहर्ट्ज पर काम करते हैं। ये दोनों रेडियो आवृत्तियाँ हैं, और इन्हें विभिन्न अनुप्रयोगों में उपयोग किया जाता है। दोनों आवृत्तियों के बीच मुख्य अंतर यह है कि 433 मेगाहर्ट्ज की रेंज 315 मेगाहर्ट्ज से लंबी होती है। इसका मतलब है कि 433 मेगाहर्ट्ज उन अनुप्रयोगों के लिए बेहतर है जिन्हें लंबी रेंज की आवश्यकता होती है, जैसे कि रिमोट कीलेस एंट्री।
यूरोप में 433.92 मेगाहर्ट्ज सामान्यतः उपयोग किया जाता है और अमेरिका और जापान में यह 315 मेगाहर्ट्ज है।
Brute-force Attack
.png)
यदि प्रत्येक कोड को 5 बार भेजने के बजाय (इस तरह भेजा गया ताकि रिसीवर इसे प्राप्त कर सके) केवल एक बार भेजा जाए, तो समय 6 मिनट तक कम हो जाता है:
.png)
और यदि आप सिग्नल के बीच 2 मिलीसेकंड की प्रतीक्षा अवधि को हटा देते हैं तो आप समय को 3 मिनट तक कम कर सकते हैं।
इसके अलावा, De Bruijn Sequence का उपयोग करके (एक तरीका जो सभी संभावित बाइनरी नंबरों को ब्रूटफोर्स करने के लिए भेजने के लिए आवश्यक बिट्स की संख्या को कम करता है) यह समय केवल 8 सेकंड तक कम हो जाता है:
.png)
इस हमले का उदाहरण https://github.com/samyk/opensesame में लागू किया गया था।
एक प्रीएंबल की आवश्यकता De Bruijn Sequence ऑप्टिमाइजेशन से बचाएगी और रोलिंग कोड इस हमले को रोकेंगे (मानते हुए कि कोड इतना लंबा है कि इसे ब्रूटफोर्स नहीं किया जा सकता)।
Sub-GHz Attack
इन सिग्नल पर हमला करने के लिए Flipper Zero की जांच करें:
Rolling Codes Protection
स्वचालित गैरेज दरवाजे के ओपनर आमतौर पर गैरेज दरवाजे को खोलने और बंद करने के लिए एक वायरलेस रिमोट कंट्रोल का उपयोग करते हैं। रिमोट कंट्रोल गैरेज दरवाजे के ओपनर को एक रेडियो आवृत्ति (RF) सिग्नल भेजता है, जो दरवाजे को खोलने या बंद करने के लिए मोटर को सक्रिय करता है।
किसी के लिए RF सिग्नल को इंटरसेप्ट करने और इसे बाद में उपयोग के लिए रिकॉर्ड करने के लिए एक डिवाइस का उपयोग करना संभव है, जिसे रिप्ले अटैक के रूप में जाना जाता है। इस प्रकार के हमले को रोकने के लिए, कई आधुनिक गैरेज दरवाजे के ओपनर एक अधिक सुरक्षित एन्क्रिप्शन विधि का उपयोग करते हैं जिसे रोलिंग कोड प्रणाली के रूप में जाना जाता है।
RF सिग्नल आमतौर पर एक रोलिंग कोड का उपयोग करके प्रसारित किया जाता है, जिसका अर्थ है कि कोड हर उपयोग के साथ बदलता है। यह किसी के लिए सिग्नल को इंटरसेप्ट करना और गैरेज में अनधिकृत पहुंच प्राप्त करने के लिए उसे उपयोग करना कठिन बनाता है।
रोलिंग कोड प्रणाली में, रिमोट कंट्रोल और गैरेज दरवाजे के ओपनर के पास एक साझा एल्गोरिदम होता है जो हर बार रिमोट के उपयोग पर एक नया कोड उत्पन्न करता है। गैरेज दरवाजे का ओपनर केवल सही कोड पर प्रतिक्रिया करेगा, जिससे किसी के लिए केवल कोड कैप्चर करके गैरेज में अनधिकृत पहुंच प्राप्त करना बहुत कठिन हो जाता है।
Missing Link Attack
बुनियादी रूप से, आप बटन के लिए सुनते हैं और जब रिमोट डिवाइस (जैसे कार या गैरेज) की रेंज से बाहर होता है तब सिग्नल को कैप्चर करते हैं। फिर आप डिवाइस के पास जाते हैं और कैप्चर किए गए कोड का उपयोग करके इसे खोलते हैं।
Full Link Jamming Attack
एक हमलावर वाहन या रिसीवर के पास सिग्नल को जाम कर सकता है ताकि रिसीवर वास्तव में कोड को ‘सुन’ न सके, और जब ऐसा हो रहा हो, तो आप बस कोड को कैप्चर और रिप्ले कर सकते हैं जब आप जाम करना बंद कर दें।
शिकार किसी बिंदु पर कार को लॉक करने के लिए चाबियाँ का उपयोग करेगा, लेकिन फिर हमले ने पर्याप्त "दरवाजा बंद करें" कोड रिकॉर्ड कर लिए होंगे जिन्हें उम्मीद है कि दरवाजा खोलने के लिए फिर से भेजा जा सकता है (एक आवृत्ति में परिवर्तन की आवश्यकता हो सकती है क्योंकि कुछ कारें दरवाजे को खोलने और बंद करने के लिए समान कोड का उपयोग करती हैं लेकिन विभिन्न आवृत्तियों में दोनों कमांड सुनती हैं)।
warning
जाम करना काम करता है, लेकिन यह ध्यान देने योग्य है क्योंकि यदि व्यक्ति कार को लॉक करने के लिए दरवाजों का परीक्षण करता है ताकि यह सुनिश्चित हो सके कि वे लॉक हैं, तो वे देखेंगे कि कार अनलॉक है। इसके अलावा, यदि वे ऐसे हमलों के बारे में जानते हैं, तो वे यह भी सुन सकते हैं कि दरवाजों ने कभी लॉक ध्वनि नहीं बनाई या कारों के लाइट्स कभी फ्लैश नहीं हुए जब उन्होंने ‘लॉक’ बटन दबाया।
Code Grabbing Attack ( aka ‘RollJam’ )
यह एक अधिक गुप्त जामिंग तकनीक है। हमलावर सिग्नल को जाम करेगा, इसलिए जब शिकार दरवाजे को लॉक करने की कोशिश करेगा, तो यह काम नहीं करेगा, लेकिन हमलावर इस कोड को रिकॉर्ड करेगा। फिर, शिकार फिर से कार को लॉक करने की कोशिश करेगा बटन दबाकर और कार इस दूसरे कोड को रिकॉर्ड करेगी।
इसके तुरंत बाद हमलावर पहले कोड को भेज सकता है और कार लॉक हो जाएगी (शिकार को लगेगा कि दूसरे प्रेस ने इसे बंद कर दिया)। फिर, हमलावर कार को खोलने के लिए दूसरे चुराए गए कोड को भेजने में सक्षम होगा (मानते हुए कि "कार बंद करें" कोड का उपयोग इसे खोलने के लिए भी किया जा सकता है)। एक आवृत्ति में परिवर्तन की आवश्यकता हो सकती है (क्योंकि कुछ कारें दरवाजे को खोलने और बंद करने के लिए समान कोड का उपयोग करती हैं लेकिन विभिन्न आवृत्तियों में दोनों कमांड सुनती हैं)।
हमलावर कार रिसीवर को जाम कर सकता है और अपने रिसीवर को नहीं क्योंकि यदि कार रिसीवर उदाहरण के लिए 1 मेगाहर्ट्ज ब्रॉडबैंड पर सुन रहा है, तो हमलावर रिमोट द्वारा उपयोग की जाने वाली सटीक आवृत्ति को जाम नहीं करेगा बल्कि उस स्पेक्ट्रम में एक निकटतम आवृत्ति को जाम करेगा जबकि हमलावर का रिसीवर एक छोटे रेंज में सुन रहा होगा जहां वह रिमोट सिग्नल को जाम सिग्नल के बिना सुन सकता है।
warning
अन्य कार्यान्वयन जो विनिर्देशों में देखे गए हैं, दिखाते हैं कि रोलिंग कोड कुल कोड का एक भाग है जो भेजा गया है। यानी भेजा गया कोड एक 24 बिट कुंजी है जहां पहले 12 रोलिंग कोड हैं, दूसरे 8 कमांड (जैसे लॉक या अनलॉक) हैं और अंतिम 4 चेकसम हैं। इस प्रकार को लागू करने वाले वाहन स्वाभाविक रूप से संवेदनशील होते हैं क्योंकि हमलावर को केवल रोलिंग कोड खंड को बदलने की आवश्यकता होती है ताकि वह दोनों आवृत्तियों पर किसी भी रोलिंग कोड का उपयोग कर सके।
caution
ध्यान दें कि यदि शिकार पहले कोड को भेजते समय तीसरा कोड भेजता है, तो पहला और दूसरा कोड अमान्य हो जाएंगे।
Alarm Sounding Jamming Attack
एक कार पर स्थापित एक आफ्टरमार्केट रोलिंग कोड प्रणाली के खिलाफ परीक्षण करते समय, एक ही कोड को दो बार भेजने से तुरंत अलार्म और इमोबिलाइज़र सक्रिय हो गया, जिससे एक अद्वितीय सेवा से इनकार का अवसर मिला। विडंबना यह है कि अलार्म और इमोबिलाइज़र को निष्क्रिय करने का तरीका रिमोट को दबाना था, जिससे हमलावर को लगातार DoS हमले करने की क्षमता मिल गई। या इस हमले को पिछले एक के साथ मिलाकर अधिक कोड प्राप्त करें क्योंकि शिकार जल्द से जल्द हमले को रोकना चाहेगा।
References
- https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/
- https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/
- https://samy.pl/defcon2015/
- https://hackaday.io/project/164566-how-to-hack-a-car/details
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।