De redaksje fan Motherboard magazine krige in fideo fan de útfiering fan de saneamde. man-in-the-middle-oanfallen fan de skriuwer fan EvanConnect, dy't draadloze repeaters ferkeapet dy't kinne wurde brûkt om yn te brekken en lúkse auto's te stellen.
Doe't twa manlju troch in swak ferljochte garaazje rûnen, seach ien fan harren nei in swart, laptopgrutte apparaat yn syn skoudertas. Mei de knoppen op it lichem fan it apparaat fytste hy troch de ferskate bestjoeringsmodi werjûn op it ljochte LED-display fan it apparaat foardat hy op ien fêstige.
Doe't it apparaat opsteld wie, kaam de twadde man op in helder wite Jeep dy't yn 'e garaazje parkeard wie. Hy hold syn apparaat: in lyts doaske mei in antenne derop. De man besocht de autodoar iepen te dwaan, mar dy siet op slot. Hy drukte op in knop boppe op syn apparaat, it ljocht knipperde, en de masine gie iepen. Hy klom yn de bestjoerdersstoel en drukte op de startknop.
Om de mooglikheden fan it apparaat te demonstrearjen, die de man de doaze mei de antenne út en drukte nochris op de startknop fan de auto. "Key fob net ûntdutsen" - in ynskripsje ferskynde op it auto paniel, wat betsjutte dat de persoan dy't rydt gjin draadloze kaai by him hie om de auto te starten. "Druk op de knop mei de kaai om te begjinnen."
Troch it berjocht te negearjen, sette de man it apparaat yn 'e hân wer oan en besocht de auto te starten. As by tsjoen begûn de motor mei in karakteristike grom.
"EvanConnect," ien fan 'e manlju yn' e fideo dy't ferberget efter in online pseudonym, fertsjintwurdiget de nexus tusken digitale en fysike kriminaliteit. Hy ferkeapet apparaten wurdich tûzenen dollars dy't tastean oare minsken te brekken yn djoere auto's en stelle se. Hy beweart dat hy kliïnten hat yn 'e FS, Brittanje, Austraalje en ferskate lannen yn Súd-Amearika en Jeropa.
"Ik kin earlik sizze dat ik sels gjin auto's stellen haw mei dizze technology," fertelde Evan de redaksje. "It soe hiel maklik wêze, mar ik tink: wêrom soe ik myn hannen smoarch meitsje as ik gewoan jild fertsjinje kin troch ark oan oaren te ferkeapjen."
De fideo is net fan in echte stellerij; Evan brûkte de Jeep fan in freon om de mooglikheden fan it apparaat oan de redaksje te demonstrearjen, en uploade dêrnei in oare ferzje fan it op syn YouTube-kanaal. Derneist wurde dizze apparaten soms brûkt troch befeiligingsûndersikers om de feiligens fan masines te testen. De bedriging fan digitale auto-stellerij is lykwols heul reëel.
Plysjeminsken oer de hiele wrâld hawwe in ferheging fan it oantal stellerijen yn 'e ôfrûne jierren rapporteare, dy't se leauwe binne begien mei ferskate elektroanyske apparaten. Yn in parseberjocht fan 2015 warskôge de Toronto Police Department ynwenners fan in pyk yn stellerijen fan Toyota en Lexus SUV's dy't die bliken te wêzen útfierd mei elektroanyske ark. In fideo fan 2017 útbrocht troch West Midlands Plysje yn Brittanje liet twa manlju sjen dy't in Mercedes Benz benadere dy't bûten it hûs fan har eigner parkeard. Lykas yn Evan's fideo stie ien njonken de auto mei in draachber apparaat, en de twadde pleatste in grutter apparaat tichtby it hûs yn in besykjen om it sinjaal te fangen dat útstjoerd waard troch de autokaaien dy't binnen leine.
Net alle stellerijen fan elektroanyske auto's hawwe needsaaklik deselde technology omfetsje. Guon technologyen fertrouwe op it blokkearjen fan it sinjaal fan 'e kaai fan' e eigner, wêrtroch't de eigner leaut dat hy de auto op slot hat as it feitlik iepen is foar ynbrekkers. Evan apparaten, yn tsjinstelling, binne "wireless repeaters", en fiere saneamde. man-in-the-midden oanfallen.
Sammy Kamkar, dy't al lang ynteressearre is yn hardware-hacking en feiligensproblemen, wurdearre Evan's fideo en ferklearre ús de details fan dizze oanfal. It begjint allegear mei de eigener fan de auto dy't him op slot docht en mei de kaai fuortgiet. Ien fan 'e makkers besiket it sinjaal te ûnderskeppen, en komt dan nei de auto, hâldt ien fan' e apparaten dy't harket nei de loft op lege frekwinsjes, wêryn't de auto sinjalen stjoert om te kontrolearjen op 'e oanwêzigens fan in kaai tichtby, en dan dit apparaat stjoert dit sinjaal "op in hegere frekwinsje, type 2,4, XNUMX GHz of sokssawat, wêr't it sinjaal folle langere ôfstannen mei gemak reizget," skreau Kamkar. It twadde apparaat yn hannen fan de twadde ynbrekker ûntfangt dit hege frekwinsje sinjaal en werhellet it nochris, op de oarspronklike lege frekwinsje.
De kaai fob sjocht dit sinjaal op in lege frekwinsje en reagearret op 'e gewoane wize, as soe it tichtby de auto.
"Dit bart ferskate kearen yn beide rjochtingen oant it hiele proses fan it oerbringen fan wachtwurden en feedback tusken de kaai en de auto is foltôge, en dizze twa elektroanyske apparaten binne gewoan dwaande mei it ferstjoeren fan kommunikaasje oer in langere ôfstân," skreau Kamkar.
Mei help fan sokke apparaten meitsje kriminelen in brêge dy't rint fan 'e auto nei de kaai yn' e bûse, hûs of kantoar fan it slachtoffer, en elke partij wurdt ferrifelje om te leauwen dat it neist de oare leit, wêrtroch de kriminelen de auto kinne iepenje en begjinne .
"Ik kin de autentisiteit fan 'e fideo net befestigje, mar ik kin sizze dat de metoade 100% wurket - ik sels organisearre in ferlykbere oanfal op op syn minst in tsiental auto's mei myn eigen hardware, en it is heul maklik om te demonstrearjen," sei Kamkar .
Om syn eigendom fan 'e technology te bewizen, stjoerde Evan foto's fan 'e apparaten tegearre mei in printe berjocht om te bewizen dat dit net allinich foto's fan in oar wiene. Hy demonstrearre ek ferskate technologyske apparaten oan it redaksjeteam yn in live fideochat en levere oare fideo's dy't de wurking fan 'e apparaten demonstrearje.
In wurdfierder fan Fiat Chrysler Automobiles, dy't it merk Jeep operearret, reagearre net op ús fragen.
Evan sei dat de apparaten sille wurkje op alle auto's mei keyless yngong, útsein dyjingen dy't 22-40 kHz frekwinsjes brûke, dy't Mercedes, Audi, Porsche, Bentley en Rolls Royce auto's omfetsje makke nei 2014. Dizze fabrikanten binne oerstapt nei kaaisystemen mei de nijere FBS4-technology. Evan foege lykwols ta dat hy in oar model ferkeapet dat kin wikselje tusken frekwinsjes fan 125-134 kHz en in tafoege berik fan 20-40 kHz, wêrtroch hackers hjoed elke keyless auto kinne ûntsluten en begjinne. Hy ferkeapet it standertmodel foar $9000, en de bywurke ferzje foar $12000.
"It klinkt allegear frij oannimlik en is ienfâldich te ymplementearjen," sei Kamkar. "Ik haw apparaten makke mei dizze funksjonaliteit foar sawat $ 30 (en as jo se yn grutte hoemannichten ferkeapje, kinne jo se goedkeaper meitsje), dus d'r is gjin reden om fraude te fermoedzjen."
Yndied kinne draadloze toetsrepeaters wurde gearstald foar net in heul grutte som. Minsken dy't sokke apparaten brûke wolle, kinne lykwols net de technyske kennis hawwe om se sels te sammeljen, dus keapje se klearmakke doazen fan Evan.
"It item is de ynvestearring 100% wurdich," sei Evan. - Nimmen ferkeapet apparaten goedkeap; it kin allinnich goedkeap dien wurde troch in persoan dy't bekend is mei radioelektronika en it PKE (passive keyless entry) bestjoeringscircuit.
Evan sei dat hy op ien of oare manier hearde oer minsken dy't ferlykbere apparaten yn syn stêd brûke, en besleat om te begjinnen mei ûndersyk nei de technology. In jier letter fûn hy ynteressearre partijen en begon in team te sammeljen om de apparaten te sammeljen.
Om't dizze apparaten sels net ferbean binne yn 'e Feriene Steaten, advertearret Evan iepenlik syn produkten op sosjale netwurken. Hy sei dat hy kommunisearret mei kliïnten mei de Telegram-messenger. Evan fereasket meastentiids folsleine betelling foarôf, mar soms moetet mei de klant persoanlik as hy net wolle betelje in soad jild foarôf, of ferkeapet him in goedkeaper apparaat earst.
Hy sei dat hy in krimineel rekord hat en dat hy yn 'e takomst nei de finzenis sil gean foar in net-relatearre misdriuw, mar as it giet om technology, beskôget Evan himsels as in amateur op dit gebiet, en net in soarte fan hardcore krimineel.
"Foar my is al dizze technology gewoan in hobby, en ik diel myn kennis oer dit mei de wrâld sûnder eangst," fertelde hy de redakteur.
Boarne: www.habr.com