Засада! ((( Обнаружена уязвимость в брелоках автомобилей концерна Volkswagen

[dima_ku]

Засада! (((

http://www.autonews.ru/automarket_news/news/1834886/
https://rg.ru/2016/08/11/millionov-avtomobilej-koncerna-volkswagen-okazalis-uiazvimy-dlia-krazh.html

Группа исследователей из британского университета в Бирмингеме обнаружила уязвимость в брелоках автомобилей концерна Volkswagen, которая может позволить угнать транспортное средство, сообщает Reuters. Всего под угрозой оказались около 100 миллионов немецких машин с системой бесключевого доступа. С помощью небольшого самодельного устройства, цена которого составляет всего 40 долларов, специалисты смогли получить доступ к автомобилю. Система позволяет сканировать радиосигнал и копировать его.
Особенно уязвимыми к взлому оказались автомобили брендов Audi, VW, Seat и Skoda, которые реализуются с 1995 года. Также могут быть уязвимы автомобилей Ford, Nissan, Mitsubishi и Chevrolet. При этом полностью защищены от угона таким способом транспортные средства на платформе MQB. «Вполне возможно, что все автомобили, произведенные Volkswagen в прошлом и частично в настоящее время (за исключением некоторых моделей Audi), используют постоянный ключ и уязвимы для атак», – говорится в отчете.

В свою очередь, представитель Volkswagen заявил, что нынешнее поколение Golf, Tiguan (я так понимаю это про Tiguan 2016), Touran и Passat не подвержены риску взлома. Комментировать риски для других моделей сотрудник концерна отказался.

 

[Алекс7]

dima_ku, уже баян. И то, что существующий keyless дырявый, как бы известно давно. И ретранслятор его вскрывает.

 

[dima_ku]

Тут не ретранслятор, однако. Тут сканер-граббер за 40 долларов. Ретрансляторы-удочки много денег стоят (на вскидку - типа 10 000 евро и более). А тут любой пацан, наркош будет граббером вскрывать. Граббером вскрывали раньше систсемы с простым не диалоговым кодом. А теперь...

P.S. Ретранслятор "Волна" пишут стоит 3-5 миллионов. Т.е. это не для "пионеров".

 

[Алекс7]

dima_ku, keyless не диалоговый, насколько я знаю. Да и диалоговые тоже уже вскрыли - вопрос, как оказалось, во вскрытии алгоритма и, видимо, таблиц с кодами ответов. Мы уже обсудили. http://forum.tiguans.ru/showthread.php?t=8518&page=405

А кто-то серьезно думал, что keyless не перехватывается грабберами? Вопрос лишь в распознавании алгоритма. Если будет диалоговый код со стандартной таблицей ответов, ее аналогично вскроют и на MQB.

Меня смущает, что угона.нет показывает граббер, который распознает сигналки и не перехватывает, а просто знает, какой код дальше подать надо. Т.е. тупо раскрыли принцип формирования кодов.

PS: в целом это позволяет открыть ЦЗ, но не уехать. По идее штатный иммобилайзер и в Keyless активен, просто более дальнобойный. А еще 40$ это цена деталей, а не готового устройства. Вся суть в исследовании сигналов и генерации подменных. А приемо-передатчик с процессором для обработки по вычисленному алгоритму как раз и стоит 40$.

 

[dima_ku]

Алекс7, Я так понял по статье, что имеют ввиду именно подделку ответов ключа. Хотя как-то странно там написано "... смогли сканировать сигнал дистанционного ключа управления автомобилей концерна, когда водители нажимали на брелоки, чтобы открыть или запереть свои автомобили". Т.е. думаешь тут речь идет только об открытии автомобили? Взлом сигналов иммобилайзера тут не имеют ввиду?

 

[Алекс7]

В английской версии написано лишь про Keyless и Keyless Entry (вторая это только открытие ЦЗ). Т.е. о кнопках брелка речи нет (но их тоже вскрыли, судя по статье угона.нет). Как я понимаю, Keyless Go - которая позволяет заводить двигатель - для открытия использует опрос брелка, который вскрываем. А для завода двигателя должен опознаться иммобилайзер, т.к. на него завязана куча всего.

Я не готов сказать это на 100%, но приборки одинаковые же, что на keyless, что с обычным замком зажигания, т.е. опознавать должны именно прописанный ключ, именно иммобилайзер.

Вопрос лучше задать спецам из угона.нет или подобной конторы. Но у меня в памяти отложилось именно это, когда тут на форуме обсуждалась keyless система.

 

[autostudio.ru]

Господа, в любом случае не нужно уповать на штатную защиту от угона. При условии использования современного охранного оборудования с диалоговой кодировкой ваше имущество всегда будет под надежной защитой. В том числе можно реализовать функцию запрет работы штатного радиоканала в отсутствии диалоговой метки вторичной авторизации

 

[Алекс7]

autostudio.ru, ну вот товарищи вскрыли и диалоговые протоколы. Что Сталкера, что Пандоры. Сталкер типа исправил это в 2016г.

dima_ku, я вас разочарую... Да, keyless вскрыли, но как оказалось, товарищи вскрыли и транспондер в брелке. Из-за того, что используется малый набор ключей на весь модельный ряд. В итоге порядка получаса нужно, чтобы атакой вскрыть транспондер и завести машину. А если ключ попал в руки на небольшое время, то затраты на атаку потом существенно сокращаются...

 

[liubov]

ну вы забыли написать что тот же Сталкер продержался аж 15 лет))) а кто ставил Лан3 даже могут обновить не меняя сигнализации... как по мне не все так печально...)))

п.с. а полагаться на штатную сигналку это всегда было бессмысленно

 

[Алекс7]

liubov, ну так не факт, что его раньше бы не вскрыли, если захотели. Вопрос времени и желания при наличии всего необходимого для анализа.

А насчет полагаться на штатное: сигналка лишь сигнализирует, брелок управляет ЦЗ, а вот иммобилайзер с транспондером в ключе уже противостоит угону. И обычно его обходят путем замены блоков и т.п. Никто пока особо не занимался атаками именно на иммо. Т.е. перехват брелка - это способ снять сигнализацию с охраны и открыть машину, но не завести и уехать на ней. Тут описывается вариант взлома именно иммобилайзера.

 

[dima_ku]

Алекс7, Теперь я огорчен ниже плинтуса. (( Точно надо что-то ставить на машину.

 

[liandvin]

В статье идет речь только(!) об уязвимости на вход в машину! (Remote Keyless Entry(!) Systems). Пишут достаточно подробно. Это есть тема статьи.
Что касается запуска двигателя и, соответственно, угона, то авторы ограничиваются одной фразой о слабости криптографии иммобилайзеров, которую авторы считают взломанной:
"The cryptography of these immobilizers
has to be considered broken as their added protection
to prevent criminals from starting the engine of
a car is very weak."

 

[Алекс7]

liandvin, по ссылке в последнем моем посте пишут, что они смогли запустить машину после получасовой атаки устройством, имитирующим транспондер.

 

[liandvin]

Засада! (((

Dima_ku, авторы статей, которые вы приводите, не читали совместную работу британцев и немца. Я уже писал, что в ней идет речь только о проникновении в машину. Имеется в виду перехват "разговора" ключа после нажатия на нём клавиши и электроники в машине, что позволяет только открыть машину. Об угоне (запуске двигателя) там речи не идет. Конечно,чтобы угнать надо преодолеть барьер на вход и,как минимум, ещё один барьер на запуск двигателя.
Взломщик должен иметь два устройства (м.б. в одном флаконе) на вход и на запуск.
Так что не всё так грустно. Штатное противоугонное устройство плюс страховка от угона, в нашем случае, как мне кажется, этого вполне достаточно.
Ставить дополнительную сигнализацию считаю абсолютно не нужным делом и даже вредным. Дополнительная сигнализация привязывает вас к конкретным установщикам. Установщики вам не раскроют своего секрета. В случае неисправности допа, если вы находитесь в другом городе,
что вы будете делать? А это весьма вероятное событие.
Да, это моё мнение.

 

[Алекс7]

liandvin, а про статью, где описывается взлом именно транспондера, а не keyless. Вот pdf: https://www.usenix.org/sites/default/files/sec15_supplement.pdf

И там прямым текстом написано, что за полчаса они смогли определить ключ, после чего сэмулировать транспондер и завести двигатель:
This attack recovers the 96-bit secret key of such a transponder within 30 minutes. This time is necessary to perform 3х2^16 authentication attempts to the transponder and then recover the key with negligible computational complexity. We have executed this attack in practice and recovered the secret key of several cars from various makes and models. Having recovered the key we were able to emulate the transponder and start the vehicles.

Установщики вам не раскроют своего секрета

О каком секрете идет речь? Вы нанимаете людей сделать конкретную работу, они вам ее сдают. Если вам дела нет, то принимаете чисто по функционалу. А если есть, то вам покажут все места установки модулей, блокировок и пр. Т.к. вы вправе знать, как защищена машина. Я вот прекрасно знаю, где стоят блоки, запасной АКБ, вторая сирена и пр.

 

[liandvin]

Алекс7, Научные статьи по уязвимости штатных систем охраны автомобилей в работах USENIX вызывают у нас обоснованные опасения, а у производителей авто стимул к дальнейшему усовершенствованию систем охраны. Имеет место диалектика
систем нападения и защиты. И на каждую статью бурно реагировать смысла нет.
Статистика угонов Тигуана говорит о надёжности штатной системы защиты.
Если штатная система подкреплена страховкой,а кому этого недостаточно, замком Гарантом на рулевой вал, то этого, на мой взгляд, вполне хватает чтобы спать спокойно.
Это моё мнение и я его никому не навязываю.

 

[raror]

Это когда это пандору вскрыли? Откуда инфа?

 

[Алекс7]

raror, а тут была ссылка на граббер, там есть Pandora (RX), не знаю конечно, это диалоговая или нет. Но какая-то линейка вскрыта.
https://www.ugona.net/page353.html

 

[dima_ku]

Кстати там под роликом написано, что с замком Тигуана этот граббер тоже работать умеет.

 

[autostudio.ru]

autostudio.ru, ну вот товарищи вскрыли и диалоговые протоколы. Что Сталкера, что Пандоры. Сталкер типа исправил это в 2016г.

Что же вы так имя Пандоры очерняете Сигнализация Pandora rx-50 изначально позиционируется как система с динамическим кодом "Kee Log Pro II". Все остальные системы Pandora представленные на сегодняшний день на рынке car-secyrity имеют абсолютную устойчивость к электронному взлому.