HackTricksSub-GHz RF
Reading time: 7 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Garage Doors
Vifunguo vya milango ya garaji kwa kawaida vinatumika katika masafa ya 300-190 MHz, ambapo masafa ya kawaida ni 300 MHz, 310 MHz, 315 MHz, na 390 MHz. Masafa haya yanatumika kwa kawaida kwa vifunguo vya milango ya garaji kwa sababu ni rahisi zaidi kuliko bendi nyingine za masafa na kuna uwezekano mdogo wa kuingiliwa na vifaa vingine.
Car Doors
Vifunguo vingi vya magari vinatumika kwenye 315 MHz au 433 MHz. Hizi ni masafa ya redio, na zinatumika katika matumizi mbalimbali tofauti. Tofauti kuu kati ya masafa haya mawili ni kwamba 433 MHz ina umbali mrefu zaidi kuliko 315 MHz. Hii ina maana kwamba 433 MHz ni bora kwa matumizi yanayohitaji umbali mrefu, kama vile kuingia bila funguo.
Nchini Uropa 433.92MHz inatumika kwa kawaida na nchini Marekani na Japani ni 315MHz.
Brute-force Attack
.png)
Ikiwa badala ya kutuma kila msimbo mara 5 (tumwa kama hii ili kuhakikisha mpokeaji anaupata) unatumia kutuma mara moja tu, muda unakuwa wa dakika 6:
.png)
na ikiwa unaondoa kipindi cha kusubiri cha 2 ms kati ya ishara unaweza kupunguza muda hadi dakika 3.
Zaidi ya hayo, kwa kutumia Mfuatano wa De Bruijn (njia ya kupunguza idadi ya bits zinazohitajika kutuma nambari zote za binary zinazoweza kubruteforce) muda huu unakuwa wa sekunde 8 tu:
.png)
Mfano wa shambulio hili ulitekelezwa katika https://github.com/samyk/opensesame
Kuhitaji preamble kutazuia uboreshaji wa Mfuatano wa De Bruijn na mifumo ya nambari zinazozunguka itazuia shambulio hili (ikiwa nambari ni ndefu vya kutosha ili isiweze kubruteforce).
Sub-GHz Attack
Ili kushambulia ishara hizi kwa Flipper Zero angalia:
Rolling Codes Protection
Vifunguo vya milango ya garaji vya kiotomatiki kwa kawaida vinatumia kidhibiti cha mbali kisichokuwa na waya kufungua na kufunga mlango wa garaji. Kidhibiti cha mbali kinatuma ishara ya masafa ya redio (RF) kwa kifaa cha kufungua mlango wa garaji, ambacho kinaanzisha motor kufungua au kufunga mlango.
Inawezekana kwa mtu kutumia kifaa kinachojulikana kama code grabber kukamata ishara ya RF na kuirekodi kwa matumizi ya baadaye. Hii inajulikana kama replay attack. Ili kuzuia aina hii ya shambulio, vifunguo vingi vya kisasa vya milango ya garaji vinatumia njia salama zaidi ya usimbaji inayoitwa rolling code.
Ishara ya RF kwa kawaida inatumika kwa kutumia nambari zinazozunguka, ambayo ina maana kwamba nambari hubadilika kila wakati inapotumika. Hii inafanya kuwa vigumu kwa mtu kukamata ishara na kuitumia kupata ufikiaji usioidhinishwa kwa garaji.
Katika mfumo wa nambari zinazozunguka, kidhibiti cha mbali na kifaa cha kufungua mlango wa garaji vina algorithms zinazoshirikiwa ambazo zinaunda nambari mpya kila wakati kidhibiti kinapotumika. Kifaa cha kufungua mlango wa garaji kitajibu tu kwa nambari sahihi, na kufanya iwe vigumu zaidi kwa mtu kupata ufikiaji usioidhinishwa kwa garaji kwa kukamata nambari tu.
Missing Link Attack
Kimsingi, unakusikia kitufe na kukamata ishara wakati kidhibiti kiko nje ya anuwai ya kifaa (kama gari au garaji). Kisha unahamia kwenye kifaa na kutumia nambari iliyokamatwa kufungua.
Full Link Jamming Attack
Mshambuliaji anaweza kuzuia ishara karibu na gari au mpokeaji ili mpokeaji asisikilize nambari, na mara hiyo ikitokea unaweza tu kukamata na kurudisha nambari wakati umesitisha kuzuia.
Mtu aliyeathirika kwa wakati fulani atatumia funguo kufunga gari, lakini kisha shambulio litakuwa limerekodi nambari za "fungua mlango" za kutosha ambazo kwa matumaini zinaweza kutumwa tena kufungua mlango (mabadiliko ya masafa yanaweza kuhitajika kwani kuna magari yanayotumia nambari sawa kufungua na kufunga lakini yanakusikiliza amri zote katika masafa tofauti).
warning
Kuzuia inafanya kazi, lakini inaonekana kama mtu anayefunga gari anajaribu milango ili kuhakikisha zimefungwa wangeweza kugundua gari halijafungwa. Zaidi ya hayo, ikiwa wangejua kuhusu mashambulizi kama haya wangeweza hata kusikiliza ukweli kwamba milango kamwe haikutoa sauti ya kufunga au mwanga wa magari haukuangaza wakati walipobonyeza kitufe cha ‘fungua’.
Code Grabbing Attack ( aka ‘RollJam’ )
Hii ni mbinu ya kuzuia ya siri zaidi. Mshambuliaji atazuia ishara, hivyo wakati mtu aliyeathirika anajaribu kufunga mlango haitafanya kazi, lakini mshambuliaji at arekodi nambari hii. Kisha, mtu aliyeathirika atajaribu kufunga gari tena kwa kubonyeza kitufe na gari litarekodi nambari hii ya pili.
Mara moja baada ya hii mshambuliaji anaweza kutuma nambari ya kwanza na gari litafungwa (mtu aliyeathirika atadhani kubonyeza kwa pili kumefunga). Kisha, mshambuliaji ataweza kutuma nambari ya pili iliyoporwa kufungua gari (ikiwa inadhaniwa kwamba "nambari ya kufunga gari" inaweza pia kutumika kufungua). Mabadiliko ya masafa yanaweza kuhitajika (kama kuna magari yanayotumia nambari sawa kufungua na kufunga lakini yanakusikiliza amri zote katika masafa tofauti).
Mshambuliaji anaweza kuzuia mpokeaji wa gari na si mpokeaji wake kwa sababu ikiwa mpokeaji wa gari unakusikiliza kwa mfano katika broadband ya 1MHz, mshambuliaji hata hatazuia masafa halisi yanayotumiwa na kidhibiti bali masafa ya karibu katika spektra hiyo wakati mpokeaji wa mshambuliaji atakuwa akisikiliza katika anuwai ndogo ambapo anaweza kusikiliza ishara ya kidhibiti bila ishara ya kuzuia.
warning
Utekelezaji mwingine ulioonekana katika maelezo ya kiufundi unaonyesha kwamba nambari zinazozunguka ni sehemu ya jumla ya nambari inayotumwa. Yaani, nambari inayotumwa ni funguo ya 24 bit ambapo 12 za kwanza ni nambari zinazozunguka, 8 za pili ni amri (kama kufunga au kufungua) na 4 za mwisho ni checksum. Magari yanayotumia aina hii pia kwa asili yanahatarishwa kwani mshambuliaji anahitaji tu kubadilisha sehemu ya nambari zinazozunguka ili kuweza kutumia nambari yoyote inayozunguka katika masafa yote mawili.
caution
Kumbuka kwamba ikiwa mtu aliyeathirika atatuma nambari ya tatu wakati mshambuliaji anatuma ya kwanza, nambari ya kwanza na ya pili zitakuwa batili.
Alarm Sounding Jamming Attack
Kujaribu dhidi ya mfumo wa nambari zinazozunguka uliowekwa kwenye gari, kutuma nambari ile ile mara mbili mara moja kulizindua alamu na immobiliser ikitoa fursa ya kipekee ya kukataa huduma. Kwa bahati mbaya, njia ya kuondoa alamu na immobiliser ilikuwa kubonyeza kidhibiti cha mbali, ikimpa mshambuliaji uwezo wa kufanya shambulio la DoS mara kwa mara. Au changanya shambulio hili na la awali ili kupata nambari zaidi kwani mtu aliyeathirika angependa kusitisha shambulio haraka iwezekanavyo.
References
- https://www.americanradioarchives.com/what-radio-frequency-does-car-key-fobs-run-on/
- https://www.andrewmohawk.com/2016/02/05/bypassing-rolling-code-systems/
- https://samy.pl/defcon2015/
- https://hackaday.io/project/164566-how-to-hack-a-car/details
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.