QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统

  • 2019-09-02
  • 本文字数:2253 字

    阅读完需:约 7 分钟

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统

在本节中,我们首先描述通用中继攻击,然后介绍我们在不同制造商的几辆汽车的 PKES 系统上实施和测试的攻击。



在实验中,我们在汽车和钥匙之间传递 LF 通信;由于该通信是“广”范围(约 100 米),并且在 PKES 系统中不用于接近检测,因此不需要 UHF 通信(从钥匙到汽车)的中继。但是,如果需要比 100 米更长的继电器,也可以在 UHF 通信上“安装”类似的中继攻击。

3.1 中继攻击

众所周知,中继攻击是对通信系统实施的攻击。在基础的中继攻击中,消息从一个位置中继到另一个位置,为了让一个实体更接近另一个。中继攻击的例子出现在信用卡交易和无线传感器网络节点,称为虫洞攻击。


RFID 中继攻击的例子在“21(G.Hancke. Practicalattacksonproximityidentificationsystems(shortpaper). InProc.ofthe27thIEEESymposiumon Security and Privacy, 2006. )”中显示。


攻击包括首先解调信号,使用 RF 将其作为数字信息进行传输,然后在受害者标签附近对其进行调制。在这个实验装置中,继电器增加了 15 到 20 秒的延迟。该延迟将由合适的钥匙/汽车对检测,因为信号传播的延迟在短距离内为纳秒级。


在这项工作中,我们在物理层的模拟域中设计并实现了中继攻击。我们的攻击不需要解释,也不需要修改信号,即我们的攻击仅引入模拟 RF 组件的典型延迟。它对大多数旨在提供消息身份验证或保密的安全协议完全透明。虽然业界已经报告了一些攻击方法,但我们的攻击是独立的。即使被动无钥匙进入系统使用强加密技术(例如 AES、RSA),它仍然容易受到我们提出的中继攻击的影响。


应该注意的是,先前提出的许多中继攻击是对信号进行调制和解调,换句话说,它们通常依赖于假读取器和伪造的 RFID 标签。这种攻击的一个明显优势是它们使用商用现成硬件(COTS)来执行。相同的设置也可用于执行重放或消息伪造。


然而,这种方法有几个缺点:首先,调制和解调显然增加了攻击的响应时间;可以检测到这个额外的时间并用作继电器存在的证据。其次,这种实现取决于信号的调制和编码,这使得中继特定于某些关键类型。在我们继电器的攻击和实现中避免了这两个缺点。

3.2 继电器过线攻击

为了尝试这种攻击,我们使用了一个由两个环形天线组成的继电器(图 3),这两个环形天线通过电缆连接在一起,该电缆在这两个天线之间中继 LF 信号。



可选放大器放置在中间,来提高信号功率。当环形天线靠近门把手时,它将汽车信标信号捕获为局部磁场。该场激励继电器的第一个天线,它通过感应产生天线输出端的交变信号。然后,该电信信号通过同轴电缆传输,并通过可选放大器到达第二天线。对放大器的需求取决于几个参数,例如天线的质量、电缆长度、原始信号的强度以及中继天线与汽车天线的接近程度。


当中继信号到达电缆的第二天线时,它在天线中产生电流,该电流又在第二天线附近产生磁场。


最后,该磁场激活钥匙的天线,该钥匙解调该信号并从汽车恢复原始信息。在我们评估的所有被动无钥匙进入系统中,这足以使钥匙通过 UHF 通道发送开启或启动授权消息。密钥发送的消息将取决于汽车最初发送的内容。汽车将从外部天线向钥匙发送打开命令,并且从内部天线发出启动命令。


因此,攻击者(例如,偷车贼)首先需要在门把手前面呈现中继天线,使得钥匙将发送打开信号。一旦门被解锁,攻击者就会将中继天线带入车内,在他按下刹车踏板或启动发动机后,汽车将会启动信息发送到钥匙。


在这两种情况下,都会执行 UHF 和操作(打开或启动)的关键步骤。

3.3 继电器空中攻击

通过电缆实施中继攻击可能不方便或引起怀疑。例如,墙壁或门的存在可以防止它。因此,我们设计并实现了空中物理层的中继攻击。我们的攻击通过专用 RF 链路传输来自汽车的 LF 信号,延迟最小。


该链路由发射器和接收器两部分组成,发射器捕获 LF 信号并将其变频至 2.5GHz,然后放大所获得的 2.5GHz 信号并通过空中传输。链路的接收器部分接收该信号并对其进行下变频,来获得原始 LF 信号。


然后,再次放大该 LF 信号并将其发送到环形 LF 天线,该天线再现汽车在其完整性中发出的信号。打开和启动汽车发动机的程序与上面讨论的相同。使用模拟上下转换的概念可以使攻击者达到更远的传输/接收中继距离,同时保持攻击的大小,功耗和价格非常低(参见第 3.4 节)。

3.4 继电器实验结果

对这两种中继攻击,表 3 报告了关于延迟与距离的一些测量结果。在电缆 LF 继电器中,延迟主要由固体同轴电缆中的波传播速度引入,其大约是空气中速度的 66%。


我们放大器的延迟大约为几纳秒。在无线 LF 中继中,我们的测量结果显示发射器和接收器电路中的延迟大约为 15-20ns,剩余的延迟是由于天线之间的距离,即 30 米时大约 100ns。


因此,对于较大的距离,应优先使用空中继电器,从而使延迟尽可能低。为了计算中继攻击的总延迟,即包括 LF 和 UHF 链路,我们应该添加 UHF 车钥匙通信,该通信假定波以光速传播并且仅取决于距离。



图 5(b)显示了接收来自汽车消息的无线中继部分。使用白色环形天线(图中右侧)接收信号。该天线必须靠近汽车发射天线,例如门把手或启动按钮(图 6),以便从汽车获得良好的信号。该信号被放大,上变频并在 2.5GHz 下用偶极天线(图像前面的黑色)重发。


图(a)显示出了应该放置在钥匙附近的空中重新接收器的接收器侧。天线(前面)接收中继的 2.5GHz 信号,下变换设置提取原始车信号,然后使用环形天线将其转发到密钥。虽然这些图片的设置是由实验设备制成的,但它可以很容易地简化为两个小型便携式设备。


系列文章:


1.针对现代轿车 PKES 系统的中继攻击(一):简介


2.针对现代轿车 PKES 系统的中继攻击(二):汽车进入系统


2019-09-02 18:455619
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.1 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

使用工具Source Monitor测量您Java代码的环复杂度

汪子熙

Java 软件工程 28天写作 12月日更 代码复杂度

Camtasia视频剪辑功能详解

淋雨

Camtasia

【福利】腾讯WeTest专有云解决方案,限时开放招募体验官

WeTest

基于星环科技大数据平台 辽宁城市建设职业技术学院打造智慧校园

星环科技

大数据

Selenium之css怎么实现元素定位?

六十七点五

大前端 软件测试 自动化测试 接口测试 selenium

Cordova插件中JavaScript代码与Java的交互细节介绍

汪子熙

Java JavaScript 移动应用 28天写作 12月日更

架构实战营 - 模块五作业

随风King

「架构实战营」

第五模块总结

张靖

#架构实战营

嚯,这款AI建模工具实在太强大了,快来pick!

百度开发者中心

AI python编辑器

实用机器学习笔记一:概述

打工人!

机器学习 深度学习 算法 学习笔记 12月日更

短视频平台的风控系统设计

Bill Zhang

等保工作中常见导致测评结论为差的高风险项

行云管家

网络安全 等级保护 等保测评 等保结论

一场关于元宇宙公司之死的剧本杀

白洞计划

架构团队如何重构内部系统

智联大前端

重构

PackML从会到不会——命令标签(4)

陈的错题集

标准化 PackML

数据云平台助力企业数字化转型

星环科技

大数据 数字化 云平台

vCenter管理软件用什么牌子好?有哪些用处?

行云管家

虚拟化 vcenter

当我们谈论“远程开发”时,我们在谈论什么

Draven Gorden

云原生 开发者工具 开发工具 远程协作 开发环境

Java和ABAP中的几种引用类型的分析和比较

汪子熙

Java 引用 28天写作 abap 12月日更

模块5作业

覃飞

数创新境,ToB要做难而正确的事

ToB行业头条

恒源云(GPUSHARE)_CIFAR-10数据集实战:构建ResNet18神经网络

恒源云

深度学习 算法

我不用“996”,更不用“007”,可我赚的就是比你多

六十七点五

软件测试 自动化测试 接口测试 测试工程师 功能测试

超赞圆形动画进度条,爱了爱了(使用HTML、CSS和bootstrap框架)

海拥(haiyong.site)

CSS 大前端 28天写作 签约计划第二季 12月日更

Linux一学就会之Centos8用户管理

学神来啦

Linux centos 运维 linux云计算

云智慧正式开源运维管理平台(OMP),加速AIOps社区生态建设

云智慧AIOps社区

运维 运维监控 开源软件 运维体系 运维系统

小程序与H5适合的场景应用都有哪些

Speedoooo

ios开发 APP开发 容器安全 Andriod开发 容器应用

分享一个从源码快速构建应用的小工具

Draven Gorden

开发者工具 开发工具 开源项目

Sinfonia: a new paradigm for building scalable distributed systems--翻译理解【1】

Krysta

分布式 transaction Sinfonia DSM 两阶段提交改进

凭什么说jdk11比jdk8好?

老地平线

JVM jdk8 JDK11

一周信创舆情观察(11.22~11.28)

统小信uos

针对现代轿车 PKES 系统的中继攻击(三):智能钥匙系统_安全_Aurelien Francillon_InfoQ精选文章