カンファレンス DEFCON 27. あなたの車は私の車です。 パート1

スピーチの概要:

私たちの多くにとって、車はこれまでで最も高価な買い物の XNUMX つです。 すべてが接続されている世界では、車をリモートで制御したいと思うのは自然なことです。駐車した場所をリマインダーを取得したり、ドアのロックを忘れていないか確認したり、リモートでエンジンを始動して室内を予熱または冷却したりすることができます。時期によって異なります。

この利便性と安心感を提供するオプションの警報システムを提供しているメーカーが数多くあります。 しかし、デジタル領域での車へのアクセスを保護するために、これらのシステムのプロバイダーをどの程度信頼できるでしょうか? この講演では、Jmaxxz がこれらのシステムの XNUMX つを調べたときに発見したことについて話します。

Jmaxxz は、August Smart Lock スマート ホーム システムの研究で知られています (DEFCON 24 でのプレゼンテーション「Backdooring The Frontdoor」)。 近年はIoTデバイスに注力している。 彼は DEFCON 24 と DEFCON 25 の「IoT ビレッジ ゼロデイ」セクションに参加し、最終的に自動車二次市場の製品であるリモート スターター (以下、RS) を検討する時期が来たと判断しました。

私の名前は J-Max です。職業はプログラマーであり、職業はハッカーです。 私はロック関連のあらゆることに携わっており、この会話を通じて、私の意見のみを表明し、私の過去、現在、将来の雇用主の意見とは何の関係もない多くの発言を聞くことになるでしょう。 もうお分かりかと思いますが、ここでは車、つまりリモートスターターと警報システムについてお話します。 多くの人がそのようなシステムを不必要な贅沢だと考えているため、この文脈では重要な背景から始めましょう。
ですから、私が住んでいる場所はかなり寒く、私の友人はレイノー症候群と呼ばれる病気に苦しんでいます。 寒さは手の血管のけいれんを引き起こし、指への血流が急激に減少し、組織壊死を含む凍傷の兆候が現れます。 スライドは通常どのように見えるかを示しています。

去年のXNUMX月、私は彼女にクリスマスに何を贈るかまだ決めていませんでした。 そこで彼女は、帰り道に車が暖まらなかったため、動揺しながら空港から帰宅しました。 その瞬間、私は彼女にリモートエンジンスタートシステムをプレゼントしようと思い立ち、最善の選択肢を探し始めました。 リモートスターター市場は非常に大きく、多くのメーカーが製品に関する十分な情報を提供していないことが判明しました。

システムのインストール方法やデバイスのプログラミングにどのツールを使用するかについては説明されていません。 これは私の車であり、リモートスタートであり、これらのツールにアクセスする必要があるため、これは私にとって問題です。 そこで、もう少し調べてみたところ、そのようなスターターを製造し、必要な書類をすべて喜んで提供してくれるカナダの会社 Fortin を見つけました。 この商品に落ち着き、適切なリモコンを探し始めました。 実際のところ、標準リモコンをリモートスターターと一緒に使用すると、その動作範囲は標準リモコンの範囲に制限されます。 アフターマーケットのリモコンは、XNUMX マイルから XNUMX マイルの範囲内で動作するように提供されています。 消費者のレビューによると、実際の距離ははるかに短いため、これは宣伝スタントです。 これが問題です。なぜなら、私の友人は飛行機から降りたらすぐに、約XNUMXメートル離れた空港の駐車場で車のエンジンを始動する必要があるからです。

したがって、彼女が携帯電話を取り出して、アプリを開いて、[スタート] を押すことができれば素晴らしいでしょう。 Fortin スターターと完全に互換性のある MyCar というサードパーティ製品を見つけました。 これは、SIM カードと GPS 受信機を備えた小さなキーホルダーで、車に置いてリモートスターターに接続できます。 その後、モバイルアプリを使用して、リモートでエンジンの始動やロックの解除などを行うことができます。

これは素晴らしいだろうと思いました。飛行機が着陸した直後に友人がエンジンを始動でき、車に着く頃には機内はすでに暖かくなっているでしょう。

それでは、リモートスターターがどのように機能するかについて少し説明しましょう。 これを行うには、まず車のエンジンがどのように始動するかを理解する必要があります。 2 年代半ば頃まで、車のスターターは、キー スイッチの組み合わせによる伝統的な機械式ロックでした。 電気回路を完成させるには、キーを差し込んで回す必要がありました。 その後、「イモビライザー」というラベルの付いたロックが米国で普及しました。 複雑そうに聞こえますが、単なる電子錠です。 つまり、電子ロックの鍵となる機械式ロックがあり、電子ロックはトランスポンダーであり、読み取ることができる情報が含まれています。 そして電子ロックを開けるまでは車は始動しません。 スライドの右側に XNUMX つのキーがあります。左側はイモビライザー用、右側は通常のイグニッション スイッチ用です。 ロックの機械部品を操作するだけで、左側のキーで電子ロックのロックが解除され、車のエンジンが始動します。

なぜこのことについてお話しするのでしょうか? リモートスタートはイモビライザーを通じて機能します。 次のスライドには、Fortin EVO One デバイスをイモビライザーに接続する図が表示されます。左下には、IMO として指定された一対の接点が表示されます。 図の右上に、CAN LOW と CAN HIGH の XNUMX 本の線が表示されます。 車載用CANバスに接続するための接点です。 リモートスターターが CAN バスに接続される理由は、設置中に使用される接続が少なくなるため、設置コストを削減するためです。 リモートスターターが CAN バスからデータを読み取るか、CAN バス経由でコマンドを送信できる場合、リモート エンジン スタート システムの設置時間が短縮されます。

図の左上には、マシンに関する情報の制御または読み取りに関連する GPIO が多数あります。 たとえば、ロック ボタンを押したときにライトが点滅したり、クラクションが鳴ったりするようにします。 このようなものは、これらの GPIO を使用して制御できます。 図の左下に、大きくて不格好なコネクタが見えます。これは、機械的ロックをバイパスするインターフェイスです。 つまり、このインターフェイスによりリモートスターターシステムリレーが電気ロックと直接通信できるため、キーをイグニッションに挿入して回す必要はありません。

次のスライドは、リモート スターターの取り付け段階を示しています。 主にステアリングコラムカバーの取り外し、DSユニットの取り付け、接続作業になります。 見た目はかなり怖そうですが、やってみると簡単です。

リモコン自体は、Fortin がデータ リンクと呼ぶものに接続します。 このシステムは、独自の物理データ転送プロトコル UART (9600 ボーの速度でデータを交換する汎用非同期トランスミッター) を使用します。 Fortin リモート スターターは、スライドに表示されている XNUMX つのリモート コントロールに UART バス経由で接続するだけです。

DSを取り付けてみて、このようなデバイスが車の安全性にどのような影響を与えるかを考えました。 明らかに、DS はイモビライザーをバイパスする必要がありますが、盗難や車の制御の傍受の可能性という観点から、これはどの程度安全なのでしょうか? これは、セルラー ネットワークを介したデータ送信だけでなく、リモート スタート信号自体にも当てはまります。 そこで、使用されているデータ転送プロトコルに関するメーカー情報をインターネットで検索し始めたところ、Fortin がこのプロトコルの提供を拒否したと人々が書き込んでいるフォーラムにたどり着きました。 その理由のXNUMXつは、「EVOはアマチュア向けのおもちゃではなく、プロによる使用を目的としているため、そのような情報は配布しません。

私はプロのようなものなので、デスクトップ上に自分のマシンを構築することにしました。 私は XNUMX 台目の EVO システム ユニットを入手し、車を表す回路基板を組み立て、点火をシミュレートするスイッチ、ブレーキ ペダル用のボタン、さまざまな状態を示す多数の LED を追加しました。

これらすべてをまとめて、FTI データ リンク モニタリング デバイスを接続し、データの収集を開始しました。 最初はスライドのように見えますが、ここで何が起こっているのか完全にはわかりません。 しかし、よく見てみると、ここには確実に何らかの構造があると言えます。

リモコンのボタンを押すたびに、アンテナが DS に送信するメッセージは常に 0C で始まり 0D で終わることに注意してください。 したがって、0C が開始、0D が終了であると仮定して、得られたものを単純に分割すると、次のような結果になります。

ここにはすでにある種の構造が明確に表示されているので、何が起こっているかを理解することができます。 特定のボタンが押された後にどのようなメッセージが表示されるかを時間をかけて追跡することで、それぞれが特定のアクションに対応するコマンドのテーブルを作成することができました。 つまり、リモコンのボタンを押すと、アンテナは次のようなコマンドをリモート スタート モジュールに送信します。

典型的なチーム構造は次のとおりです。

リモコンのボタンを押すと、アンテナがそのようなコマンドをリモートスターターに送信します。 これはバイト 0C によって目覚め、その後に送信の方向を表すと思われる 2 バイトが続きます。 これは興味深いことに、UART には信号の方向がすでに決まっているため、これらのバイトを「ガベージ」としてマークし、定数として扱うだけです。 これに、ユーザーが実行したいコマンドを示す 1 バイトが続きます。 これには、ドアを施錠したり開けたり、アラームを止めたりすることが考えられます。 一般に、リモートで実行したいことはすべてこのコマンドに関連付けられます。 FF FF FXNUMX ペイロードは、メッセージの送信元のリモート アンテナを識別するアドレスまたは識別子です。 DS ユニットが識別子を認識しない場合、コマンドは無視されます。 DS が識別子を受け入れると、イグニッションにキーが存在するかどうかの確認、エンジンのオン/オフ、ブレーキ ペダルの踏み込みなどを含む複数の手順が開始されます。 実際、このプロセスには大きな意味はなく、この時点でデバイスが ID を学習しているだけです。

メッセージの最後には、チェックサムを含むバイトとコマンドの終了を示すバイトがあります。 プロトコルがどのように機能するかは理解できたので、それに対して何ができるでしょうか? このトピックに関するビデオがいくつかあります。 残念ながら、ビデオには何らかの理由で音声がありません。画面上で何が起こっているかを説明します。 インストルメント パネル ハウジングのステアリング コラムの左側には、Fortin プロトコルを理解する Particle.IO ファームウェアを備えた電子機器を含む白いボックスがあります。 先端が青い線がアンテナです。 これにより、車内からリモートスターターユニットを操作し、ラップトップの画面で何が起こっているかを確認できるようになります。

そこで、車にロック解除コマンドを送信しますが、DS はこのアンテナを知らないため、機能しません。 すでに述べたように、これは単なる UART であり、その特性はいわゆる双方向通信をサポートすることであり、これにより車のステータスに関する情報をリモートで取得できます。 たとえば、エンジンが物理的に始動または停止された場合、DS ユニットは対応するメッセージをリモコンのアンテナに送信します。 この場合、メッセージにはこのアンテナそのもののアドレスが含まれます。

問題は、通信が UART プロトコルを使用して実行され、UART バスに接続する人は誰でも特定のメッセージが送信されるアドレスを確認できることです。そのため、私のファームウェアには既存のアンテナのアドレスを複製する機能があり、これを実行しています。適切なコマンドを使用して。

メッセージを生成するには、車のドアを開けるだけです。 ご覧のとおり、DS はドアが開いたというメッセージをアンテナに送信し、すぐにアラームがオンになります。

アラームを止めるには、「ロック解除」コマンドを送信します。その後、アラーム音が消え、車のロックが解除されます。 このビデオを音声付きで再生することができなかったので、私の言葉を信じてください。 もう一度ビデオを再生してみましょう。

さて、音が出ました（訳者注：同じ音付きのビデオが画面に再生されます）。 キーを使わずに、DS コマンドを送信してアラームをオンにする方法がわかりました。 次に、同じ方法で車を始動してみましょう。これを行うには、次のビデオをご覧ください。

通常、「スタート」と入力してエンジンを始動させようとしても、始動しません。 その理由は、この車はマニュアル トランスミッション車であり、リモート スターター システムにはそのような車用の特別な手順があるためです。 この場合、キーがイグニッションにあり、エンジンが作動しているときに、リモートスターターボタンを押す必要があります。 その後、キーを取り出し、車から降り、ドアを閉めると、DS がエンジンを停止し、ドアをロックします。 これは危険であるため、走行中に車が遠隔エンジン始動に反応しないようにするために行われます。 ただし、これは完全なセキュリティ機能ではありません。 これは、EVO リモート スターター ユニットを見れば簡単に証明できます。 この黄色のループワイヤーは、マニュアルトランスミッションで動作するように設計されています。 このブロックはカットすればオートマ車にも使用可能です。 このユニットの設計により、DS をさまざまなタイプのトランスミッションを備えた車両に取り付ける際に、特別な設定を使用する必要がありません。

システムが「開始」コマンドに応答しなかったため、このブロックを元の位置に戻し、このワイヤーを切断して接続を切断します。 ここで、「スタート」コマンドを繰り返すと、キーがロックに差し込まれたときと同じように、音声信号が鳴り、車のシステムのステータスインジケーターがインストルメントパネルで点灯します。

現時点では、イグニッションにキーを挿さなくても遠隔始動できる車がありますが、必要なのは DS モジュールだけではありません。 通常の状況では、リモートで始動した車で走り去ることはできませんが、とにかく試してみましょう。

ステアリングホイールのロックを無効にするには、トランスポンダーのないイグニッションロックに通常のキーを挿入する必要があります。 ご覧のとおり、エンジンを始動する前の位置にキーを移動するだけで、スバル インプレッサのステアリングホイールが完全に自由に回転し始めます。

しかし、キーを持っていない場合、ブレーキペダルを踏むと車は停止してしまいます。 この制限を回避するのは非常に簡単です。 車がリモートスターターにブレーキがかかっていることをどのように伝えるかを理解する必要があります。 EVO モジュール ハウジングの背面に複数のマルチカラー ポートが表示されます。CAN バスからのケーブルはここに接続されます。 車を遠隔始動した後、このケーブルを DS ユニットから取り外すだけで十分であり、ブレーキ ペダルを踏んでも反応しません。 このユニットはステアリング コラム カバーの下にあるので、ラップトップで「スタート」コマンドを与えると車が始動し、ドアを開けて車から降り、EVO ユニットから CAN バス コネクタを取り外します。 ご覧のとおり、車のエンジンはかかっていますが、まだイグニッションキーがありません。

ここで、ブレーキ ペダルを踏んでも、EVO はブレーキ ペダルが押されたことを認識しないため、何も起こりません。 その後、ハンドルを握り、ブレーキを踏み、ギアスティックを「ドライブ」位置に動かすと、車が動き始めます。 これはすべてキーなしで行われます。

21:40

カンファレンス DEFCON 27. あなたの車は私の車です。 パート2

いくつかの広告 🙂

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 開発者向けのクラウド VPS は 4.99 ドルから, 当社があなたのために発明した、エントリーレベルのサーバーのユニークな類似物です。 VPS (KVM) E5-2697 v3 (6 コア) 10GB DDR4 480GB SSD 1Gbps 19 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

アムステルダムのエクイニクス Tier IV データセンターでは Dell R730xd が 2 倍安い? ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com