写点什么

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统

  • 2019-09-02
  • 本文字数:2253 字

    阅读完需:约 7 分钟

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统

在本节中,我们首先描述通用中继攻击,然后介绍我们在不同制造商的几辆汽车的 PKES 系统上实施和测试的攻击。



在实验中,我们在汽车和钥匙之间传递 LF 通信;由于该通信是“广”范围(约 100 米),并且在 PKES 系统中不用于接近检测,因此不需要 UHF 通信(从钥匙到汽车)的中继。但是,如果需要比 100 米更长的继电器,也可以在 UHF 通信上“安装”类似的中继攻击。

3.1 中继攻击

众所周知,中继攻击是对通信系统实施的攻击。在基础的中继攻击中,消息从一个位置中继到另一个位置,为了让一个实体更接近另一个。中继攻击的例子出现在信用卡交易和无线传感器网络节点,称为虫洞攻击。


RFID 中继攻击的例子在“21(G.Hancke. Practicalattacksonproximityidentificationsystems(shortpaper). InProc.ofthe27thIEEESymposiumon Security and Privacy, 2006. )”中显示。


攻击包括首先解调信号,使用 RF 将其作为数字信息进行传输,然后在受害者标签附近对其进行调制。在这个实验装置中,继电器增加了 15 到 20 秒的延迟。该延迟将由合适的钥匙/汽车对检测,因为信号传播的延迟在短距离内为纳秒级。


在这项工作中,我们在物理层的模拟域中设计并实现了中继攻击。我们的攻击不需要解释,也不需要修改信号,即我们的攻击仅引入模拟 RF 组件的典型延迟。它对大多数旨在提供消息身份验证或保密的安全协议完全透明。虽然业界已经报告了一些攻击方法,但我们的攻击是独立的。即使被动无钥匙进入系统使用强加密技术(例如 AES、RSA),它仍然容易受到我们提出的中继攻击的影响。


应该注意的是,先前提出的许多中继攻击是对信号进行调制和解调,换句话说,它们通常依赖于假读取器和伪造的 RFID 标签。这种攻击的一个明显优势是它们使用商用现成硬件(COTS)来执行。相同的设置也可用于执行重放或消息伪造。


然而,这种方法有几个缺点:首先,调制和解调显然增加了攻击的响应时间;可以检测到这个额外的时间并用作继电器存在的证据。其次,这种实现取决于信号的调制和编码,这使得中继特定于某些关键类型。在我们继电器的攻击和实现中避免了这两个缺点。

3.2 继电器过线攻击

为了尝试这种攻击,我们使用了一个由两个环形天线组成的继电器(图 3),这两个环形天线通过电缆连接在一起,该电缆在这两个天线之间中继 LF 信号。



可选放大器放置在中间,来提高信号功率。当环形天线靠近门把手时,它将汽车信标信号捕获为局部磁场。该场激励继电器的第一个天线,它通过感应产生天线输出端的交变信号。然后,该电信信号通过同轴电缆传输,并通过可选放大器到达第二天线。对放大器的需求取决于几个参数,例如天线的质量、电缆长度、原始信号的强度以及中继天线与汽车天线的接近程度。


当中继信号到达电缆的第二天线时,它在天线中产生电流,该电流又在第二天线附近产生磁场。


最后,该磁场激活钥匙的天线,该钥匙解调该信号并从汽车恢复原始信息。在我们评估的所有被动无钥匙进入系统中,这足以使钥匙通过 UHF 通道发送开启或启动授权消息。密钥发送的消息将取决于汽车最初发送的内容。汽车将从外部天线向钥匙发送打开命令,并且从内部天线发出启动命令。


因此,攻击者(例如,偷车贼)首先需要在门把手前面呈现中继天线,使得钥匙将发送打开信号。一旦门被解锁,攻击者就会将中继天线带入车内,在他按下刹车踏板或启动发动机后,汽车将会启动信息发送到钥匙。


在这两种情况下,都会执行 UHF 和操作(打开或启动)的关键步骤。

3.3 继电器空中攻击

通过电缆实施中继攻击可能不方便或引起怀疑。例如,墙壁或门的存在可以防止它。因此,我们设计并实现了空中物理层的中继攻击。我们的攻击通过专用 RF 链路传输来自汽车的 LF 信号,延迟最小。


该链路由发射器和接收器两部分组成,发射器捕获 LF 信号并将其变频至 2.5GHz,然后放大所获得的 2.5GHz 信号并通过空中传输。链路的接收器部分接收该信号并对其进行下变频,来获得原始 LF 信号。


然后,再次放大该 LF 信号并将其发送到环形 LF 天线,该天线再现汽车在其完整性中发出的信号。打开和启动汽车发动机的程序与上面讨论的相同。使用模拟上下转换的概念可以使攻击者达到更远的传输/接收中继距离,同时保持攻击的大小,功耗和价格非常低(参见第 3.4 节)。

3.4 继电器实验结果

对这两种中继攻击,表 3 报告了关于延迟与距离的一些测量结果。在电缆 LF 继电器中,延迟主要由固体同轴电缆中的波传播速度引入,其大约是空气中速度的 66%。


我们放大器的延迟大约为几纳秒。在无线 LF 中继中,我们的测量结果显示发射器和接收器电路中的延迟大约为 15-20ns,剩余的延迟是由于天线之间的距离,即 30 米时大约 100ns。


因此,对于较大的距离,应优先使用空中继电器,从而使延迟尽可能低。为了计算中继攻击的总延迟,即包括 LF 和 UHF 链路,我们应该添加 UHF 车钥匙通信,该通信假定波以光速传播并且仅取决于距离。



图 5(b)显示了接收来自汽车消息的无线中继部分。使用白色环形天线(图中右侧)接收信号。该天线必须靠近汽车发射天线,例如门把手或启动按钮(图 6),以便从汽车获得良好的信号。该信号被放大,上变频并在 2.5GHz 下用偶极天线(图像前面的黑色)重发。


图(a)显示出了应该放置在钥匙附近的空中重新接收器的接收器侧。天线(前面)接收中继的 2.5GHz 信号,下变换设置提取原始车信号,然后使用环形天线将其转发到密钥。虽然这些图片的设置是由实验设备制成的,但它可以很容易地简化为两个小型便携式设备。


系列文章:


1.针对现代轿车 PKES 系统的中继攻击(一):简介


2.针对现代轿车 PKES 系统的中继攻击(二):汽车进入系统


2019-09-02 18:455405
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.4 次阅读, 收获喜欢 1799 次。

关注

评论

发布
暂无评论
发现更多内容

关于VO/DTO/DO/PO价值的思考

姚秋实(Nacol)

Java 设计模式 架构设计 架构师

使用极限网关助力 ES 集群无缝升级、迁移上/下云

极限实验室

console Gateway 数据迁移 极限网关 极限科技

【云原生 | 最佳实践】一个实践驱动的云原生项目集—KubeWharf

计算机魔术师

字节跳动 云原生

回顾2023,展望2024——小工程师的执着

工程师日月

#技术人的2023总结

解锁中小企业上云智选,华为云这款服务器你值得拥有

平平无奇爱好科技

CentOS 7.8编译安装python 3.7教程。

百度搜索:蓝易云

Python Linux centos 运维 云服务器

CSS技巧:从高度0过渡到自动高度

南城FE

CSS 前端 动画

传输黑科技下的全景之旅—浅谈开源项目E3PO的思路与功能

计算机魔术师

性能卓越,部署无忧,华为云这款产品值得信赖

平平无奇爱好科技

助力企业上云降本增效,华为云这款产品有妙招

轶天下事

AI 与自然语言

天黑黑

大模型 LLM 提示词

企业数字化创新发展,华为云这款服务器助力一键飞跃数字化巅峰

轶天下事

文心一言 VS 讯飞星火 VS chatgpt (147)-- 算法导论12.2 2题

福大大架构师每日一题

福大大架构师每日一题

我在平台与 AIGC 的交互组件一些设计经验

软件工程师-罗小东

体育数据API接口:观看足球篮球比赛直播视频,获取即时比分数据

软件开发-梦幻运营部

数字化浪潮下云计算如何服务?华为云这款服务器用实力说话

平平无奇爱好科技

华为云耀云服务器L实例:智能、高性能、低成本的数字化助手

轶天下事

一种LED驱动专用控制电路方案

芯动大师

INFINI Labs 产品更新 | 修复 Easysearch 跨集群复制索引同步问题,Gateway 内存异常增长等问题

极限实验室

Gateway 产品更新 easysearch 极限科技

Java互联网+医院智能导诊系统源码 自动兼容H5小程序、Uniapp

源码星辰

Java 源码 智慧导诊 智能导诊

数字化时代的利器:华为云服务器L实例助力初创企业稳健成长

平平无奇爱好科技

数字化转型新篇章:华为云耀云服务器L实例引领初创与成长型企业向前

平平无奇爱好科技

华为云耀云服务器L实例:专为中小企业量身打造的高性能云服务器

轶天下事

【高效视频处理】一窥火山引擎多媒体处理框架-BMF

计算机魔术师

淘宝API接口与用户体验分析

联讯数据

华为云耀云服务器L实例:企业建站与小程序开发的绝佳选择

轶天下事

CentOS7如何使用fail2ban防范SSH暴力破解攻击?

百度搜索:蓝易云

Linux centos SSH 云服务器 Fail2ban

探索未来云计算,华为云耀云服务器L实例引领行业新动力

平平无奇爱好科技

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统_安全_Aurelien Francillon_InfoQ精选文章