Угон автомобилей: атаки на иммобилайзеры и ключи + защита

Угон автомобилей: атаки на иммобилайзеры и ключи + защита

Применение технологии криптографии в системах легковых автомобилей, в частности, на чипах иммобилайзера или более продвинутые методы, существенно изменили статистику угонов. Иммобилайзеры стали обязательными для применения на всех новых автомобилях. Тем не менее, заинтересованные в кражах лица продолжают исследовать  и находить слабые места технологий, с целью угона машины без ключа. Рассмотрим тему: угон автомобилей + защита и основные виды атак на иммобилайзеры / брелоки. Эта информация должна стать полезной для владельцев машин в плане защиты от возможного угона.

Обобщённый взгляд на угон автомобилей

Большинство владельцев машин, как правило, уверены в том, что угон автомобилей не грозит, если активировать кнопку блокировки на дистанционном ключе. Знакомый сигнал блокировки электронного замка и подмигивание фонарей успокаивают душу владельца машины.

Однако практика показывает, зачастую предположения людей об используемых технологиях попросту не соответствуют реалиям. Достаточно рассмотреть лишь некоторые (наиболее известные) виды атаки на иммобилайзеры и брелоки, чтобы осознать это. Полный же список «чёрных» технологий из тех, что рассчитаны на угон автомобилей без владения ключом, остаётся скрытым.

Так, примерно три четверти автомобилей, угоняемых во Франции, взламываются электронным способом. Этот факт лишний раз подтверждает теорию относительно быстрого освоения хакерами новых технологий и нахождений слабых мест защиты автомобилей.

Для реализации задачи по угону машины необходимое оборудование доступно купить буквально за несколько десятков долларов. Например, широко известные устройства «HackRf» и «RollJam» предоставляют существенную помощь угонщикам. Поэтому каждый владелец автомобиля, по сути, должен обладать знаниями о том, как защитить технику от угона, какие применять меры противодействия подобным устройствам.

data-full-width-responsive="false">

Типичное исполнение ключей-брелоков автомобилей

Иммобилайзеры легкового и другого вида транспорта представляют разновидность RFID (радиочастотная идентификация) устройств, которые изначально не обеспечивали криптографическую безопасность. Однако современные системы наделены такой функцией безопасности.

Иммобилайзеры предотвращают угон автомобиля, опрашивая RFID-транспондер, встроенный в конструкцию ключа зажигания. Результат «опроса» является условием для включения системы впрыска топлива в цилиндры мотора транспортного средства. Без наличия сигнала RFID двигатель машины не запустится, даже если применить копию ключа. Таким образом, этот вид системы способствует значительному сокращению угонов автомобилей.

Таблица: Типичное исполнение ключей-брелоков автомобилей

Тип ключа Доступ Запуск мотора
Физический ключ, дополненный иммобилайзером Физический ключ Физический ключ + RFID
Система бесключевого удалённого доступа Удалённая активация нажатием кнопки брелока Физический ключ + RFID
Система удалённого бесключевого зажигания Дистанционный пассивный Дистанционный пассивный

Физический ключ + иммобилайзер

Физический ключ, дополненный иммобилайзером, имеет металл-пластиковую конструкцию. Транспондер RFID встроен в пластиковую часть ключа и сообщается с электроникой рулевой колонки для включения системы впрыска топлива.

MAGIC

Угон автомобилей - как выглядит ключ-иммобилайзер
Так выглядит внешне один из многочисленных вариантов ключей-иммобилайзеров, используемых для защиты несанкционированного доступа к машине

Это пассивное устройство, действующее по принципу электромагнитной индукции от сигнала запроса, передаваемого считывателем. Такого типа ключ специально создан для предотвращения угонов автомобилей простым замыканием проводов. Автомобиль не заведётся, пока система не пройдёт успешную аутентификацию через чип RFID.

Существуют два типа иммобилайзеров:

  1. Электронные.
  2. Криптографические.

Первая конфигурация относится к первому поколению, где использовались транспондеры под статическую подпись. Несмотря на то, что этому типу ключей недоставало функции криптографии, удалось резко сократить количество угонов автомобилей. Следующее поколение уже построено на криптографических протоколах, что затрудняет возможное копирование сигнала электронного иммобилайзера.

Система бесключевого удалённого доступа

Система бесключевого удалённого доступа (RKE — Remote Keyless Entry) устройство радиоволновой связи с автомобилем. Используется для закрывания / открывания дверей салона, багажника, а также снимает с охраны автомобильную сигнализацию.

Системы типа RKE, как правило, работают на частотах 315 МГц и 433,92 МГц. Дальность передачи сигнала составляет 10 — 100 метров. Устройство такого типа наделяется источником питания, относится к приборам активного действия.

Типичная схема RKE (рисунок 5) включает микроконтроллер в конструкции ключа (брелока). Чтобы разблокировать автомобиль, владельцу достаточно нажать кнопку брелока, активирующую микроконтроллер.

ТРАНСПОНДЕР

Угон автомобилей - бесключевой дистанционный доступ к салону
Одна из многочисленных конфигураций системы бесключевого удалённого доступа к салону автомобиля — своего рода приёмо-передающее устройство, способное в какой-то степени предотвратить угон автомобилей

Так формируется 64-битный или 128 битный код на радиопередатчике ключа с последующим модулированием несущего сигнала, излучаемого через простую рамочную антенну. Конструкция рамочной антенны малоэффективна, но недорогая в производстве, поэтому широко используется.

Автомобильный РЧ-приёмник принимает сигнал и направляет на другой микроконтроллер, где данные декодируются. Далее отправляется соответствующее сообщение для запуска двигателя или открывания дверей салона. Поток цифровых данных, передаваемый со скоростью 2,4 — 20 кбит/сек, обычно содержит:

  • преамбулу данных,
  • общий код,
  • контрольные биты,
  • «скользящий код».

Этот набор контролирует внесение изменений при каждом использовании для обеспечения безопасности транспортных средств. Предотвращается возможность однократного перехвата сигнала злоумышленником и возможность многократного подключения.

Система бесключевого удалённого зажигания

Системы дистанционного бесключевого зажигания без (RKI — Remote Keyless Ignition) представляют устройства пассивного входа и запуска без ключа (PKES — Passive Keyless Entry and Start Systems). Нередко именуются «умными» ключами (Smart-Key). Представляют собой устройства, обладающие всеми возможностями RKE без использования металлических частей.

Двери салона обычно открываются таким ключом без нажатия какой-либо кнопки на брелоке. Так, многие автомобили, оснащённые системами RKI, позволяют владельцу держать ключ в кармане одежды и лишь касаться датчика на ручке двери. Некоторые машинные системы предполагают помещение брелока внутрь гнезда зажигания. Но есть и такая конфигурация, когда достаточно, чтобы брелок находился внутри салона автомобиля для возможности включения зажигания.

БРЕЛОКИ

Угон автомобилей и бесключевая дистанционная система зажигания
Один из многочисленных вариантов системы бесключевого дистанционного зажигания транспортного средства, используемого в конструкциях современных легковых машин

Такого типа «автоматическое» отпирание или включение зажигания автомобиля, наряду с выраженным комфортом, представляет явную угрозу безопасности. Злоумышленник может совершить угон автомобиля, когда владелец машины находится поблизости (например, при заправке топлива или загрузки багажника).

В нормальном режиме работы «умным» ключом используются два канала связи. При непосредственной близости с машиной (1-2 метра) через индуктивную связь НЧ-канала (120-135 кГц). На удалённом расстоянии (до 100 метров) через связь УВЧ-канала (315-433 МГц).

Автомобильной электроникой периодически посылаются низкочастотные сигналы до момента отправки ключом УВЧ сигнала подтверждения близости. Затем отправляется Id-номер вместе с запросом через низкочастотный сигнал. Далее ключом передаётся ответный сигнал по УВЧ.

В режиме разряда батареи используется пассивный компонент на ключе, работающий в обоих направлениях. Пассивный компонент должен находиться недалеко от считывателя RFID, а металлический ключ должен использоваться с брелоком для запуска автомобиля.

Распространённые виды атаки на иммобилайзеры и брелоки

Рассмотрим несколько видов хакерских атак, выполняемых с расчётом на угон автомобилей, которые считаются широко распространёнными среди армии злоумышленников. Возможно, эти представления относительно предпринимаемых действий угонщиков, заставят владельцев машин подходить к делу эксплуатации и защиты с большим вниманием.

Атака радио блокировкой (Radio Jamming)

Относительно простым видом атаки считается метод радио блокировкой. Принцип построен на эффекте глушения сигнала ключа блокирующим сигналом, соответственно, достигается сбой закрывания или открывания дверей автомобиля. Злоумышленнику достаточно иметь радиопередатчик, передающий «мусорный» код на той же частоте, где ведёт передачу брелок.

Здесь требуется присутствие хакера рядом с машиной жертвы, что повышает вероятность поимки угонщика. Атака радио блокировкой не даёт возможности завести мотор, но открывает доступ в салон для кражи вещей. Практически все автомобили издают особый звук с миганием сигнальных фонарей в момент замыкания дверей салона. Соответственно, владельцу машины относительно несложно заметить сбой блокировки замков, что часто сводит эффект атаки Radio Jamming к нулю.

Беспроводная атака RollJam

В данном случае хакерское устройство устанавливается (маскируется) на целевом автомобиле или рядом с машиной. Угонщик ожидает, когда жертва воспользуется брелоком, действующим в пределах частотного радиодиапазона. Брелок при этом не сработает с первой попытки, но сработает со второй попытки.

Устройство RollJam, между тем, сохраняет первый сигнал, полученный от брелока, и остаётся в ожидании второго сеанса, когда владелец авто вновь нажмёт кнопку. В случае второй активации брелока, устройство RollJam вновь блокирует сигнал, записывает в память второй код.

СМАРТ-КЛЮЧ

Угон автомобилей - конструкция устройства Rolljam
Примерно таким выглядит хакерское устройство RollJam, посредством которого совершается угон автомобилей, перечисляемых достаточно обширным списком моделей

Злоумышленнику остаётся только скрытно забрать устройство с места установки и воспроизвести перехваченный код с брелока жертвы в любое подходящее время. Исследования такой атаки показали успешный угон автомобилей:

  • Nissan,
  • Cadillac,
  • Ford,
  • Toyota,
  • Lotus,
  • Volkswagen,
  • Chrysler.

Атака релейного вида под угон автомобилей

Методика так называемого релейного вида применима только к системам RKE и RKI. Хакер использует расширенный диапазон радиочастотного передатчика с целью перехвата данных, передаваемых через связь брелока и машины. Документами по безопасности пассивных систем входа и запуска без ключа (PKES) или удалённых систем зажигания без ключа (RKI) представлена эта модель атаки.

Как отмечается, используются два варианта:

  1. Реле физического уровня проводное.
  2. Реле физического уровня беспроводное.

Результаты исследований показывают: ретрансляция сигнала в одном направлении (от автомобиля до ключа) достаточно для выполнения релейной атаки. При этом расстояние между автомобилем и ключом может быть достаточно большим (до 50 метров, вне зоны прямой видимости).

Тестировались десять моделей ряда производителей на угон автомобилей и все десять были признаны уязвимыми для рассмотренного типа атаки. Такой угон автомобилей возможен, даже если система пассивного входа без ключа имеет надёжную криптографию (например, AES или RSA).

Кабельная релейная атака под угон автомобилей

Атака использует принцип ретранслятора по кабелю с применением реле. Система состоит из двух рамочных антенн, соединённых вместе кабелем, через который передаётся низкочастотный сигнал между антеннами. Усилитель, как правило, размещается в центре передачи для улучшения сигнала, если необходимо.

Когда рамочная антенна размещается на близком расстоянии от дверной ручки автомобиля, появляется возможность улавливания сигнала транспортного маяка в виде локального магнитного поля. Это поле наводит токи в рамке первой антенны, которая создаёт переменный сигнал на выходе.

Этот сигнал передаётся по коаксиальному кабелю и достигает второй антенны, которой в результате создаётся магнитное поле. Этим магнитным полем возбуждается антенна ключа и восстанавливается исходное сообщение от автомобиля.

Как показали тесты, этой последовательности вполне достаточно, чтобы ключ отправлял сообщение об открытии или запуске по каналу УВЧ. Угонщику достаточно приблизить ретрансляционную антенну к дверной ручке машины, чтобы ключ отправил сигнал на открывание. Далее останется только поместить антенну в салон машины и нажать кнопку запуска двигателя, отправляя тем самым сообщение о запуске.

Релейная эфирная атака на угон автомобилей

Ретрансляция по кабелю далеко не всего приемлема для хакеров, учитывая определённые неудобства и подозрительное поведение взломщика. Поэтому был изобретён улучшенный вариант — эфирный. Так называемая эфирная атака ретранслирует низкочастотный сигнал от автомобиля по специально построенному радиочастотному каналу (содержит излучатель и приёмник) с минимальными задержками.

Излучатель улавливает низкочастотный сигнал и преобразует с повышением частоты до уровня 2,5 ГГц. Преобразованный сигнал усиливается и передаётся по эфиру. Приёмником сигнал преобразуется до исходного низкочастотного уровня, усиливается и отправляется на рамочную антенну, которая воспроизводит сигнал, излучаемый машиной. Процесс открывания дверей и запуска техники такой же, как при атаке через кабельный вариант.

Ретрансляторная атака на транспондер Megamos Crypto

Тип взлома Megamos Crypto предполагает использование:

  • комбинации шифров,
  • установленного механизма обновления ключей,
  • слабостей криптографии ключей.

Согласно проведённым исследованиям, взлом иммобилайзера с помощью беспроводной связи обусловлен слабыми местами протокола криптографии и аутентификации транспондера Megamos Crypto.

ЭЛЕКТРОНИКА

Угон автомобилей - электронная плата инструмента Proxmark III
Электронный инструмент профессиональных угонщиков машин — устройство Proxmark III

Megamos Crypto — один из наиболее распространённых транспондеров иммобилайзера, используемых брендами:

  • Volkswagen,
  • Audi,
  • Porsche,
  • Bentley,
  • Lamborghini,
  • Fiat,
  • Honda,
  • Volvo,
  • Maserati.

Оборудование, необходимое здесь под угон автомобилей — Proxmark III. Это устройство используется для прослушивания канала связи с автомобилем и транспондером. Proxmark III — мощный инструмент анализа протокола RFID общего назначения, который поддерживает выборку необработанных данных в диапазоне частот 125 кГц — 13,56 МГц.

 

Технология атаки в общем смысле построена на полуавтоматическом способе шифрования с наблюдением за изменениями состояния памяти и промежуточными криптографическими вычислениями. Криптографическим анализом сначала восстанавливается 96-битный секретный ключ по сложности 256, после чего оптимизируется до сложности 248.

Заключение на угон автомобилей

Технология RFID для автомобильных ключей применяется уже более десяти лет. Благодаря этому значительно сократилось количество угонов автомобилей. Тем не менее, периодически появляются новые способы атак, что требует от производителей машин устранения недостатков и совершенства систем. Конечно, слабые места постепенно устраняются специалистами компаний, но владельцам техники тоже необходимо учиться обнаруживать и предотвращать возможные атаки. Здесь рассмотрена лишь малая часть «боевого» арсенала угонщиков. В целом, существует масса разных способов получить доступ, завести и угнать машину.


При помощи информации: ISE