Американская организация National Insurance Crime Bureau (NICB, которая занимается отслеживанием преступлений для страховых компаний) получила в своё распоряжение так называемое Mystery Device (таинственное устройство). Эти устройства свободно не продаются, но распространяются в криминальных кругах и на сайтах в тайной части Интернет (dark web). Устройство, как видно на видео, состоит из двух частей и предназначено для криминального вскрытия и запуска автомобилей.
Надо немного отвлечься и объяснить как работают современные сигнализации. Старые модели сигнализаций передавали каждый раз один и тот же или незначительно модифицированный код — статический код. Такие сигнализации вскрываю так называемыми код-грабберами. Список уязвимых для обычных код-грабберов сигнализаций можно посмотреть например тут.
В более новых сигнализациях, каждое нажатие кнопки на брелоке генерирует новый код (или шифруется новым ключом). Такая технология называется динамическим кодом (Rolling code). Этот код рассчитывается по определенной формуле, которая по сути и является ключом к автомобилю. Контроллер автомобиля проверяет два условия — код соответствует формуле и этот код еще не применялся ранее (так сказать, имеет порядковый номер больший предыдущего, чаще всего не более чем на 256 позиций).
Из этого описания понятно, что основной способ взлома такой технологии — узнать формулу расчета псевдослучайной последовательности. Таких прецедентов еще не было, фирмы производители чипов берегут формулы как зеницу ока.
Поэтому самый широко известный способ вскрытия сигнализаций с динамическим кодом — в момент закрытия автомобиля владельцем, зашумить эфир на частоте работы сигнализации, записав при этом сигнал закрытия машины. Если владелец машины не заметит, что она не заперлась, то этого уже достаточно, чтобы её обчистить.
Если владелец машины заметит, что машина не закрылась, он подаст второй сигнал на закрытие (и это будет уже следующее число). Этот сигнал тоже будет зашумлен и записан, а долей секунды после него будет подан первый записанный сигнал. Таким образом у вора останется один код, который в контроллере автомобиля числится как еще не использованный.
Этот способ был описан и продемонстрирован известным «белым» хакером Samy Kamkar, который сделал устройство RollJam, размером немного больше кредитной карты, и сообщил об этой уязвимости на хакерской конференции DefCon в августе 2015г. Несомненно, автоворам это было известно и до этой конференции, первые известия о вскрытии машин с помощью какого то неизвестного устройства и краже из них вещей появились у NICB еще в августе 2014 г.
Однако, судя по тому, что оно состоит из двух частей, Mystery Device использует немного другой принцип. Оно рассчитано на так называемые системы с бесключевым доступом. Строго говоря доступ с брелка тоже можно назвать бесключевым, но тут просто путаница терминологии.
Бесключевым (keyless) маркетингово называют такие системы запирания, когда система сама запирает машину (без нажатия кнопок на брелке), если владелец с брелком вышел из неё и отошел от неё на несколько метров. Соответственно, когда владелец с брелком подходит к машине, машина отпирается (не ожидая нажатия кнопки на брелке). Технически это необязательно, но большинство машин с такой опцией заводится не ключом, а кнопкой.
Чтобы определить, что владелец подошел к машине, система бесключевого доступа постоянно сканирует эфир в поисках брелка рядом с машиной. Один вор со своей частью устройства подходит к машине, другой со своей следит за покупателем, находясь с ним рядом, например в супермаркете. Устройство вора рядом с машиной улавливает сигнал от сканера, ищущего свой брелок и по радиоканалу передает его устройству, которое у вора рядом с владельцем.
Устройство рядом с владельцем выдает этот сигнал в эфир. Брелок владельца «слышит» сигнал от своей машины и дает «отзыв». Этот отзыв улавливается устройством вора, находящимся рядом с владельцем, и по радиоканалу передается обратно, устройству вора у машины. Машина «слышит» сигнал своего брелка и открывается.
Такая атака называется «Relay Attack» (по русски «методом ретрансляции»), так как воры по сути образуют мини-радиорелейную линию связи между брелком и машиной. Пока единственной защитой от такого угона являются разного рода экранирующие чехлы для брелока, от фабричных китайских до баночек от леденцов.
И вот NICD получило один из экземпляров такого устройства. О технических нюансах его работы предсказуемо ничего не сообщают. Но общие результаты тестирования Mystery Device на доступных NICD автомобилях — из 35 машин удалось открыть 19 машин, 18 из них удалось еще и завести. 12 машин, из тех которые завелись, удалось повторно завести.
Поясню цифру в 12 повторно заведенных машин. Некоторые автопроизводители встраивают в систему бесключевого доступа проверку наличия брелка во время езды. Но глушить машину на ходу опасно и чревато ДТП. Поэтому ни один производитель не глушит мотор на ходу, но вот то, что угнанные авто удалось повторно завести — серьезный пробел в безопасности машины. Все заведенные Mystery Device машины имели бесключевой доступ и запуск.
Это не единственное доступное на черном рынке устройство, эксперты NICD предполагают что есть более дорогие варианты Mystery Device с лучшими возможностями.
Угон машины с бесключевым доступом на видео ниже. Парень около машины считывает запрос электронного ключа. Его девайс передает этот запрос его сообщнику у дверей дома. Тот свои девайсом (видимо с мощным усилителем), транслирует запрос брелку владельца машины. Брелок дает ответ, который передается угонщику около машины и машина открывается.