25th USENIX Security Symposium
August 10–12, 2016 • Austin, TX
В последние несколько лет безопасности удаленных систем дистанционного ключа (для блокировки и разблокировки автомобиля), основанного на прокатных кодах уделяется мало внимания. В данной работе, мы закрываем этот пробел и представляем уязвимости в схемах без ключа входа, используемых крупными производителями. В нашем первом исследованном случае, мы изучили, что безопасность в системе доступа без ключа у большинства автомобилей VW Group, произведенных в период между 1995 и сегодня опирается на несколько глобальных мастер-ключей.
При восстановлении, криптографические алгоритмы и ключи от электронных блоков управления, злоумышленник может клонировать пульт дистанционного управления VW Group и получить несанкционированный доступ к транспортному средству путем перехвата один сигнал, посланный оригинального пульта ДУ. 
Во-вторых, мы опишем схему сканирования кода Hitag2 (используется в автомобилях, сделанных Alfa Romeo, Chevrolet, Peugeot, Lancia, Opel, Renault и Ford, среди прочих) во всех деталях. Мы представляем описание атаки корреляций, основанную на hitag2, что позволяет восстановить криптографический ключ и, так же, произвести клонирование пульта дистанционного управления с четырех до восьми прокаток кодов и нескольких минут вычислений на ноутбуке. Наши результаты затрагивают миллионы автомобилей по всему миру и может объяснить нераскрытые страховые случаи краж из якобы запертых транспортных средств.
Мы реализовали корреляции атаки на стандартном ноутбуке. При выполнении этой атаки на практике, первое препятствие, с чем злоумышленник сталкивается, является тот факт, что только 10 наименее значимых битов (LSBs) счетчика СУУ передаются по воздуху, но полный 28-разрядный счетчик используется для инициализации шифра. Таким образом, злоумышленник должен угадать остальные 18 бит. На практике это не является проблемой, так как она занимает 210 = 1024 ключей выбирает на пульте дистанционного управления и имеет наиболее значимые биты (MSB), и поэтому это обычно бывает только пару раз в год. В худшем случае, злоумышленник должен повторить вышеописанную атаку с увеличением MSB, пока она не получит правильную комбинацию.
В среднем наша реализация атаки восстанавливает криптографический ключ в примерно за 1 минуту вычислений, требующих несколько перебирать коды (от 4 до 8). Как уже упоминалось, злоумышленник должен повторить это вычисление для каждого предположения из 18 старших разрядов счетчика. Для транспортных средств, которые мы тестировали, то СЗБ счетчика, как правило, были в возрасте от 0 до 10, что приводит к общему времени атаки менее чем за 10 минут. Кроме того, существует сильная корреляция между возрастом автомобиля и значения счетчика, поэтому образованные комбинации также возможны.
Мы проверили наши выводы на практике путем создания ключей эмулятора, а затем отпирания и запирания транспортных средств с вновь сформированным прокатными кодами:
| Производитель | Модель | Год |
|---|---|---|
| Alfa Romeo | Giulietta | 2010 |
| Chevrolet | Cruze Hatchback | 2012 |
| Citroen | Nemo | 2009 |
| Dacia | Logan II | 2012 |
| Fiat | Punto | 2016 |
| Ford | Ka | 2009, 2016 |
| Lancia | Delta | 2009 |
| Mitsubishi | Colt | 2004 |
| Nissan | Micra | 2006 |
| Opel | Vectra | 2008 |
| Opel | Combo | 2016 |
| Peugeot | 207 | 2010 |
| Peugeot | Boxer | 2016 |
| Renault | Clio | 2011 |
| Renault | Master | 2011 |
Транспортные средства, в приведенном выше списке являются наши собственные, а также от коллег и друзей, которые дали нам добровольно. Кроме того, мы нашли следующий список поддерживаемых транспортных средств для универсального пульта дистанционного управления на рынке [19], который предположительно реализует схему Hitag2 RKE: Abarth 500, Punto Evo; Alfa Romeo Giulietta, Mito; Citroen Jumper, Nemo; Fiat 500, Bravo, Doblo, Ducato, Fiorino, Grande Punto, Panda, Punto Evo, Qubo; Dacia Duster; Ford Ka; Lancia Delta, Musa; Nissan Pathfinder, Navara, Note, Qashqai, X-Trail; Opel Corsa, Meriva, Zafira, Astra; Peugeot Boxer, Expert; и Renault Clio, Modus, Trafic, Twingo. Этот список включает в себя большинство наших испытанных автомобилей. Это указывает на то, что все транспортные средства, указанные в списке (хотя практически не нами протестирован) также уязвимы для описанных атак.
В отличие от схемы VW Group, уязвимость в системе Hitag2 РКУ вызваны криптографически слабым шифром. В результате, несмотря на то, надо сказать, что корреляция атака опустошает с криптографической точки зрения, сложность данных немного выше по сравнению со схемами VW Group, которые можно разбить с помощью одного подслушанного сигнала. Нападение на hitag2 требует, по крайней мере, четыре (не обязательно подряд) прокатных кода, т.е., злоумышленник должен присутствовать в течение более длительного периода времени для захвата сигналов для нескольких нажатий клавиш на пульте дистанционного управления жертвы. Тем не менее, чтобы быстро получить необходимые прокатные коды, злоумышленник может избирательно глушить сигнал во время последнего байта контрольной суммы (что предсказуемо). В этом случае транспортное средство игнорирует код качения, но тем не менее, злоумышленник получает ключевой поток. Жертва, следовательно, заметить, что транспортное средство не отвечает, и инстинктивно нажимает кнопку несколько раз. После того, как получив четвертый сигнал, злоумышленник останавливается блокировку, и пульт дистанционного управления работает в обычном режиме с точки зрения жертвы. Тем не менее, злоумышленник уже собрал необходимое количество подвижных кодов для последующего извлечения криптографического ключа. Следовательно, если описанное поведение наблюдается у владельца транспортного средства, это является показателем того, что атака может быть в стадии разработки.
Выводы
Отвечая на вопрос оригинального исследования о безопасности автомобильных систем RKE, результаты этой работы показывают, что крупные производители использовали ненадежные схемы в течение более чем 20 лет. 
Из-за широкого использования анализируемых систем, наши результаты имеют глобальные последствия. Владельцы пострадавших автомобилей должны знать, что отпирание двери своей машины гораздо проще, чем принято считать сегодня. И для VW Group и для схем подбора кода hitag2, можно клонировать оригинальный пульт дистанционного управления и получить несанкционированный доступ к транспортному средству после того, как перехватил один или несколько прокатных кодов, соответственно. Необходимое оборудование для получения и отправки прокатные коды, например, SDRs like the USRP или HackRF,и как смарт-часы TI Chronos, широко доступны по низкой цене. Атаки, следовательно, высокой степенью масштабируемости и могут быть потенциально осуществляться неквалифицированным злоумышленником. Так как они выполняются только через беспроводной интерфейс, по меньшей мере, в диапазоне от оригинального пульта дистанционного управления (то есть, несколько десятков метров), и не оставляют никаких физических следов, они представляют собой серьезную угрозу на практике.
Для Службы охраны и безопасности последствия наших выводов неутешительны: Личные вещи, оставленные в запертом транспортном средстве (а также компоненты транспортного средства, такие как информационно-развлекательной системы) могут быть украдены, если вор использует уязвимость системы РКУ, чтобы разблокировать автомобиль после того, как владельца оставил. Такой подход является значительно труднее предотвратить, чем известные в настоящее время способы хищения (например, с применением физической силы или блокирования плавающего код). К тому же, так как действительный код открытия обычно отключает систему сигнализации, кража, скорее всего, останется незамеченной в течение более длительного периода времени. Общие рекомендации, как «запереть ее или потерять его» [25] или «убедитесь, что транспортное средство успешно блокируется, и передачу не заклинило» (мигает направление света, звук) не являются теперь достаточны для эффективного предотвращения кражи. Успешная атака на РКУ и противоугонную систему будет также включать или содействовать другим видам преступлений:
— Кража самого транспортного средства, обходя системы иммобилайзера (например, [32, 33]) или путем программирования нового ключа в машине через OBD порт с помощью подходящего инструмента;
— Ставит под угрозу бортовой компьютер современного транспортного средства [10, 20], что может даже повлиять на личную безопасность, например, путем отключения тормозов;
— Неприметно размещения объекта или человека внутри автомобиля. Автомобиль может быть заблокирован снова после акта;
— По-пути грабежа, затрагивающие личную безопасность водителя и пассажиров, если они (ошибочно) предположили, что автомобиль надежно закрыт.
Обратите внимание, что из-за длинного диапазона систем RKE это технически возможно подслушивать сигналы всех автомобилей на стоянке или у дилера автомобиля путем размещения устройства подслушивания там всю ночь. Впоследствии, все уязвимые автомобили могут быть открыты злоумышленник. Практические эксперименты показывают, что приемные диапазоны могут быть существенно увеличены. Авторы работы [18] предоставили системы подслушивания RFID в 433 МГц, с поддержкой технологии сравнимой с RKE, с расстояния до 1 км при использовании недорогого оборудования. Точно так же, крупномасштабные DoS атаки на машины VW Group будет возможно с автоматизированным подходом, в результате, система RKE уязвимых типов транспортных средств будет деактивирована для соответствующего пульта дистанционного управления и VW Group столкнутся повышенным спросом на обслуживание клиентов , то есть, повторной синхронизации пультов ДУ.
Правовые последствия, криминалистика и контрмеры
Пока неясно, в настоящее время осуществляется ли преступниками такие нападения на схеме РКУ. Тем не менее, были различные сообщения СМИ о необъяснимых кражах из запертых автомобилей в последние годы. Вопросы безопасности, описанные в данном документе, могут объяснить такие случаи. Обратите внимание, что мы проанализировали дополнительные автомобильные системы RKE (с аналогичными результатами в отношении их (в) безопасности), но из-за трудности ответственного раскрытия информации, не можем публиковать все результаты.
На сегодняшний день, даже эксперты в области автомобильных случаев угона высказал мнение о том, что сигнализация и электронные дверные системы запирания автомобиля не можно легко обойти. С этого момента, они должны учитывать, что специальные универсальные пульты дистанционного управления, чтобы обойти механизмы безопасности могут быть использованы преступниками. В отличие от механических инструментов, чтобы открыть транспортные средства, такое устройство не оставит никаких физических следов. Страховые компании, таким образом, должны признать, что некоторые сценарии угона автомобилей, которые до сих пор рассматривались, как страховое мошенничество (например, кража личных вещей из запертого автомобиля без физических следов) есть, принимая во внимание результаты этой работы, реально с более высокой вероятностью. С точки зрения судебно-медицинской экспертизы, необходимость нажать кнопку на пульте дистанционного управления несколько раз для того, чтобы разблокировать автомобиль является показателем того, что автомобиль мог быть доступен преступникам. А также для автомобилей VW Group, «блокировка» пульта дистанционного управления следует рассматривать как подозрительные. Тем не менее, существуют и другие причины такого поведения, например, из-за севшего аккумулятора пульта дистанционного управления или RF шума окружающей среды.
В то время как уязвимость системы VW Group обусловлены во всем мире мастер-ключами, системы, основанные на Hitag2 страдают от недостатков в самого шифра. Таким образом, в заключение, для «хорошей» РКУ системы необходимы, как безопасные криптографические алгоритмы (например, AES) так и обеспечение распределенных ключей. Широко доступны методы для решения проблем безопасности, обнаруженных в данной работе[23]. Atmel создала открытую конструкцию протокола RKE [5], которая публикуется во всех деталях. Безопасность их конструкции было внимательно изучено Тиллихом и др. в работах [29]. Теперь производителям транспортных средств для безопасной реализации требуются схемы РКУ следующего поколения.
Для владельцев пострадавших автомобилей, в качестве временной меры противодействия в тех случаях, когда ценные предметы остались в автомобиле, мы можем, к сожалению, только рекомендовать прекратить использование или отключить / удалить RKE часть ключа автомобиля и вернуться обратно к механическим замком!
Ответственность за раскрытие информации
Что касается уязвимости систем VW Group, мы связались с VW Group в ноябре 2015 года и обсудили наши выводы на встрече с VW Group и субподрядчиком в феврале 2016 года, перед публикацией материалов. VW Group получили черновой вариант этого документа и окончательный вариант. VW Group признала уязвимость. Как уже упоминалось в статье, мы договорились опубликовать среди прочего, следующие данные: криптографические ключи, номера деталей уязвимой ECU, а также используемые устройства программирования и подробные сведения о процессе обратного проектирования.
Для hitag2, мы уведомили компании NXP в январе 2016 года. Компания NXP получила версию этого документа до его представления. Мы хотели бы отметить, что тот факт, что Hitag2 криптографически сломана была публично известно в течение нескольких лет, и компания NXP уже проинформировала своих клиентов об этом в 2012 году Мы хотели бы также подчеркнуть, что в течение нескольких лет, компания NXP предлагает новые системы AES на основе RKE ИС, которые не зависят от уязвимостей, описанных в данной статье. Кроме того, многие производители автомобилей уже начали использовать более безопасные чипы для новых конструкций.
Использованные источники
[1] Abc7news. Key fob car thefts, 2013. abc7news.com/archive/9079852.
[2] Arstechnica. After burglaries, mystery car unlocking device has police stumped, 2013. arstechnica.com/security/2013/06/after- burglaries-mystery-car-unlocking-device-haspolice-stumped.
[3] ATMEL. M44C890 Low-Current Microcontroller for Wireless Communication , 2001. datasheet, available at pdf1. alldatasheet.com/datasheet-pdf/ view/118247/ATMEL/M44C890.html.
[4] ATMEL. e5561 Standard Read/Write Crypto Identification IC, 2006. datasheet, available at usmartcards.com/ media/downloads/366/Atmel%20e5561% 20pdf-190.pdf.
[5] ATMEL. Embedded AVR Microcontroller Including RF Transmitter and Immobilizer LF Functionality for Remote Keyless Entry ATA5795C. datasheet, available at atmel.com/images/ Atmel-9182-Car-Access-ATA5795C_ Datasheet.pdf, November 2014.
[6] Bloessl, B. gr-keyfob. Github repository, 2015. github.com/bastibl/ gr-keyfob.
[7] Bogdanov, A. Attacks on the KeeLoq Block Cipher and Authentication Systems. In Workshop on RFID Security (RFIDSec’08) (2007). rfidsec07.etsit.uma.es/ slides/papers/paper-22.pdf.
[8] Bono, S. C., Green, M., Stubblefield, A., Juels, A., Rubin, A. D., and Szydlo,
M. Security analysis of a cryptographicallyenabled RFID device. In 14th USENIX Security Symposium (USENIX Security 2005) (2005), USENIX Association, pp. 1–16.
[9] Cesare, S. Breaking the security of physical devices. Presentation at Blackhat’14, August 2014.
[10] Checkoway, S., McCoy, D., Kantor, B., Anderson, D., Shacham, H., Savage, S., Koscher, K., Czeskis, A., Roesner, F., and Kohno, T. Comprehensive experimental analyses of automotive attack surfaces. In 20th USENIX Security Symposium (USENIX Security 2011) (2011), USENIX Association, pp. 77–92.
[11] Courtois, N. T., O’Neil, S., and Quisquater, J.-J. Practical algebraic attacks on the Hitag2 stream cipher. In 12th Information Security Conference (ISC 2009) (2009), vol. 5735 of Lecture Notes in Computer Science, Springer-Verlag, pp. 167–176.
[12] Eisenbarth, T., Kasper, T., Moradi, A., Paar, C., Salmasizadeh, M., and Shalmani, M. T. M. On the Power of Power Analysis in the Real World: A Complete Break of the KeeLoq Code Hopping Scheme. In Advances in Cryptology – CRYPTO’08 (2008), vol. 5157 of LNCS, Springer, pp. 203–220.
[13] European Automobile Manufacturers Associaction. New passenger car registrations, 2015. available at acea. be/uploads/press_releases_files/ 20151016_PRPC_1509_FINAL.pdf.
[14] Francillon, A., Danev, B., and Capkun, S. Relay attacks on passive keyless entry and start systems in modern cars. In Proceedings of the Network and Distributed System Security Symposium, NDSS 2011 (2011), The Internet Society.
[15] Indesteege, S., Keller, N., Dunkelmann, O., Biham, E., and Preneel, B. A practical attack on KeeLoq. In 27th International Conference on the Theory and Application of Cryptographic Techniques, Advances in Cryptology (EUROCRYPT 2008) (2008), vol. 4965 of Lecture Notes in Computer Science, SpringerVerlag, pp. 1–8.
[16] Kamkar, S. Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars. Presentation at DEFCON 23, August 2015.
[17] Kasper, M., Kasper, T., Moradi, A., and Paar, C. Breaking KeeLoq in a Flash: On Extracting Keys at Lightning Speed. In Progress in Cryptology AFRICACRYPT’09 (2009), B. Preneel, Ed., vol. 5580 of LNCS, Springer, pp. 403–420.
[18] Kasper, T., Oswald, D., and Paar, C. Wireless security threats: Eavesdropping and detecting of active RFIDs and remote controls in the wild. In 19th International Conference on Software, Telecommunications and Computer Networks – SoftCOM’11 (2011), pp. 1–6.
[19] Keyline S.p.A. RK60 guide, 2015. available at keyline.it/files/ teste-elettroniche/electronic_ heads_guide_13316.pdf.
[20] Koscher, K., Czeskis, A., Roesner, F., Patel, F., Kohno, T., Checkoway, S., McCoy, D., Kantor, B., Anderson, D., Shacham, H., and Savage, S. Experimental security analysis of a modern automobile. In 31rd IEEE Symposium on Security and Privacy (S&P 2010) (2010), IEEE Computer Society, pp. 447–462.
[21] Laurie, A. Fun with Masked ROMs — Atmel MARC4. Blog entry, 2013. adamsblog.aperturelabs.com/ 2013/01/fun-with-masked-roms.html.
[22] Lu, J. Related-key rectangle attack on 36 rounds of the XTEA block cipher. International Journal of Information Security 8, 1 (2008), 1–11.
[23] Moradi, A., and Kasper, T. A new remote keyless entry system resistant to power analysis attacks. In Information, Communications and Signal Processing – ICICS 2009 (2009), IEEE, pp. 1–6.
[24] Needham, R. M., and Wheeler, D. J. TEA extensions. Technical Report, Cambridge University, UK (1997).
[25] Newport Beach PD. Lock It Or Lose It Newport Beach Vehicle Crime, 2011. Video available at youtube.com/ watch?v=Mmi2LRF7al8.
[26] Philips. PCF7946AT – Security Transponder Plus Remote Keyless Entry, 1999. datasheet, available at datasheet4u. com/pdf/PCF7946AT-pdf/609011.
[27] Spencerwhyte. Jam Intercept and Replay Attack against Rolling Code Key Fob Entry Systems using RTL-SDR. Website, retrieved January 21, 2016, March 2014. spencerwhyte.blogspot.ca/2014/03/delay- attack-jam-intercept-and-replay.html.
[28] Sun, S., Hu, L., Xie, Y., and Zeng, X. Cube cryptanalysis of Hitag2 stream cipher. In 10th International Conference on Cryptology and Network Security (CANS 2011) (2011), vol. 7092 of Lecture Notes in Computer Science, Springer-Verlag, pp. 15–25.
[29] Tillich, S., and Wójcik, M. Security analysis of an open car immobilizer protocol stack. In 10th International Conference on Applied Cryptograpy and Network Security (ACNS 2012) (2012).
[30] Verdult, R. The (in)security of proprietary cryptography. PhD thesis, Radboud University, The Netherlands and KU Leuven, Belgium, April 2015.
[31] Verdult, R., and Garcia, F. D. Cryptanalysis of the Megamos Crypto automotive immobilizer. USENIX ;login: 40, 6 (2015), pp. 17–22.
[32] Verdult, R., Garcia, F. D., and Balasch, J. Gone in 360 seconds: Hijacking with Hitag2. In USENIX Security Symposium (August 2012), USENIX Association, pp. 237–252. usenix.org/system/ files/conference/usenixsecurity12/ sec12-final95.pdf.
[33] Verdult, R., Garcia, F. D., and Ege, B. Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer. In 22nd USENIX Security Symposium (USENIX Security 2013) (2015), USENIX Association, pp. 703–718.
[34] Štembera, P., and Novotný, M. Breaking Hitag2 with reconfigurable hardware. In 14th Euromicro Conference on Digital System Design (DSD 2011) (2011), IEEE Computer Society, pp. 558–563.
[35] Wiener, I. Philips/NXP Hitag2 PCF7936/46/47/52 stream cipher reference implementation. cryptolib. com/ciphers/hitag2/, 2007.