t69y

t69y
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
我是怎么打开车库门的：ASKOOK手动解码及重放 loblab2017-09-11现金奖励共575499人围观，发现 8 个不明物体无线安全极客
* 本文作者：loblab，本文属FreeBuf原创奖励计划，未经许可禁止转载

本文以打开无线控制的电动车库卷帘门为目标，深入研究了ASK/OOK的编／解码，并用树莓派+五元钱的

背景
车库装了电动卷帘门，为了了解其安全性，也是为了能自主控制，研究了下其遥控原理。其实在这个过程中，我测试了家里几乎所有的无电线遥控器，包括电动窗帘、投影幕布、电动衣架、车钥匙。除了车钥匙，其它都是类似的，即ASK/OOK编码。

ASK，简单的理解，就是调幅，用不同的幅度来代表不同的信息。OOK是ASK的特例，因为只有0和1要表示，可以用有载波来代表1，无载波来代表0。但实际上并不是这么直接，通常会加上脉宽调制（PWM）以提高抗干扰能力。

用HackRF确定可行性
据说有的车库门是滚动码的（编码是变化的），我们可以先用HackRF做个简单的重放攻击测试。

录制2秒的信号并重放：

hackrf_transfer -f 433920000 -s 2000000 -a 1 -r capture.raw -n 4000000 -g 40 -l 16
hackrf_transfer -f 433920000 -s 2000000 -a 1 -t capture.raw -x 40
部分运行提示：

call hackrf_set_sample_rate(2000000 Hz/2.000 MHz)
call hackrf_set_hw_sync_mode(0)
call hackrf_set_freq(433920000 Hz/433.920 MHz)
call hackrf_set_amp_enable(1)
samples_to_xfer 4000000/4Mio
Stop with Ctrl-C
3.9 MiB / 1.000 sec = 3.9 MiB/second
3.9 MiB / 1.000 sec = 3.9 MiB/second
0.3 MiB / 1.000 sec = 0.3 MiB/second
Exiting... hackrf_is_streaming() result: streaming terminated (-1004)
实测用录制的信号是可以控制的（如果不行，注意调整HackRF放大器的增益）。但这个没多大技术含量，而且成本高，数据量也大。我们的目标是解码后再重新编码／重放。

用GNU Radio录制信号
用GNU Radio搭一个简单的接收框图，一方面将接收信号保存到文件，另一方面将信号以瀑布图显示作为实时反馈。因为遥控信号是433.92MHz，中心频率设在这个附近都可以；采样率2M就够了。

gnuradio-companion 连接框图

图1：gnuradio-companion 连接框图

下图是运行时的瀑布图，其中按了5次遥控器。

gnuradio-companion 运行时的瀑布图

图2：gnuradio-companion 运行时的瀑布图

用 Inspectrum 手动解码
用apt-get安装inspectrum，或下载最新的Inspectrum代码，按照文档自行编译。试过Debian和Mac下都没问题（Mac下用MacPorts要安装一堆依赖）。编译就不多说了，下面是解码的主要步骤：

1. 用Inspectrum打开前面录制的文件，设置采样率为录制时的采样率（2M）；

2. 水平拖动，找到有信号的区域；

3. 在原始信号上右键，Add derived plot => Add sample plot；

4. 此时原始信号上会出现两条水平线，用鼠标拖动，调节中心频率的位置和宽度；

5. 在原始信号上右键，Add derived plot => Add amplitude plot；

6. 在Amplitude plot上右键，Add derived plot => Add threshold plot；

7. 勾选”Enable cursors”，此时会出现两条竖线；

8. Zoom放大信号图，移动两条竖线，使其宽度包含一个符号。注意跳过前导的高低电平（start1, start0）。数据通常是脉宽编码的，一对高低电平的组合代表一个bit：高电平较宽的代表1，低电平较宽的代表0。从图中应该能看出这个规律。

9. 改变符号数，使其包含整个信号区域（图中是65个符号，这相当于完整的key），并调节首尾对齐（结束时通常有较长的低电平），这时可以得到符号的速率，即波特率（对OOK，其实等同于比特率）。

用Inspectrum解码的步骤

图3：用Inspectrum解码的步骤

最后，在Amplitude plot或Threshold plot上分别点右键，Extract symbols (to stdout)，可以得到解码的数据。其中前者相当于模拟信号，简单理解：正数代表1，负数代表0；后者才是我们想要的bit流。

用Inspectrum解码的结果

图4：用Inspectrum解码的结果

为确认解码正确，可以再选一段信号区域，做同样的操作，看结果是否一致。毕竟ASK抗干扰不强，有时候可能会差一两个bit。通常，按一下遥控器，同样的数据会重复发送几次。

遥控信号编码分析
根据前面的解码，以及对更多遥控器的分析，可以归纳出一个模型。一个ASK信号包含如下部分（参数）：

start1: 起始的高电平时间长度；

start0: 起始的低电平时间长度；

stop0: 结束的低电平时间长度；

period: 每个bit的周期，在PWM编码中，每个bit都对应一对高/低电平，而且总是先高后低；

duty: 占空比，比如占空比是75%，则意味着一个周期内如果75%左右是高电平，则代表1; 而75%左右是低电平则代表0；

bits: 实际的bit流。

这里的占空比肯定是大于50%的，通常在75%左右比较合适，这样既能拉开（每个周期内）两种电平的比例差，减少接收端的误判；又能保证接收时能采样到两种电平，也是为了减少误码。试想对于99%的占空比，1%周期的电平很可能被接收端采样不到，导致采样到199%（甚至更长）周期的同一种电平，这样解码时就会出错。

发射模块
最初，我是想用GNU Radio做ASK/OOK编码并发射的。万能的HackRF和SDR按说能搞定这个小Case。

研究了下，发现这并不是一件容易的事。需要使用很多的模块。这也许是一个很好的GNU Radio的练习题。但我还是先看下有没有更简单的办法。

然后口水了一下TI的EZ430-Chronos手表，找了下“廉价”的RFcat，发现并不容易买到。最后在万能的假货宝发现了真正廉价的东东：只要5元！（你买不了吃亏，买不了上当。。）

这个模块很简单，就是把输入的信号以433/315M的载波调制／发射出去。DATA为高电平，就按高电平调幅输出（请注意，这里调制的是电平，并不是数据。也就是说，数据”1″对应多长时间的高电平，多长时间的低电平，这个模块都不管的——这些是编码模块要处理的事）。

ASK/OOK 发射模块

图5：ASK/OOK 发射模块

用Python编码
为了代码的模块化，也是为了减少发射时的计算量，我们采取先编码再发送的方案。根据前面建立的ASK信号的模型，将这个信号编码为高低电平交替的波形，并用一个数组表示，数组中每个元素存储高低电平切换时对应的时间戳。波形总是以高电平开始。

起始／结束电平的时长、占空比这些参数理论上并不需要严格准确，但这取决于接收端的宽容度，所以我们还是尽量忠实于原信号。

下面是核心的代码片断，其中ts是时间戳数组。

def encodePWM(self, ts):
t = 0
ts.append(t)
t += self.start1
ts.append(t)
t += self.start0
ts.append(t)
for i in range(0, self.bits.len):
w = self.duty if self.bits[i] else 1 - self.duty
ts.append(t + self.period * w)
t += self.period
ts.append(t)
ts[-1] += self.stop0
用树莓派发送
发送工作就很简单了：将发射模块的DATA脚与树莓派的某个GPIO相连，电源也直接用树莓派的；

pi-tx.jpg

图6：树莓派与发射模块

然后根据时间戳交替翻转对应的GPIO就行了。

def send(self, ts):
b = 1
t1 = time.time()
GPIO.output(self.pin_tx, b)
t1 -= ts[0]
for t in ts[1:-1]:
b = 1 - b
wait = t1 + t - time.time()
if wait > 0:
time.sleep(wait)
GPIO.output(self.pin_tx, b)
wait = t1 + ts[-1] - time.time()
if wait > 0:
time.sleep(wait)
用sleep控制时间尽管有一定误差，脚本语言的运行也没那么快，但实测是够用的。下图是示波器上看到的DATA引脚的波形图（两个通道都连着DATA脚）。

图7：树莓派产生的待调制信号

为便于观察，我将编码周期设置为1ms，和示波器界面的1ms/div对应。图中测量的间距是2.78ms（预期是2.75ms），偏差是可接受的。

多种姿势打开车库门
把发射的装置放在车库内，并连上网络，就可以无需钥匙自主控制车库门的开/关了。

手机开关门
不需要自己写App，用ssh终端密钥登录并执行命令，就可以手机一键开/关门了，并且可以远程控制。

手机上用ssh开关车库门

图8：手机上用ssh开关车库门

自动开关门
以指定手机作为钥匙，当持手机靠近车库时（其实是连上车库WiFi后），就自动开门。大致流程是：

远程执行路由器的 iwinfo 命令（如下）检测连接在上面的设备；
如果作为钥匙的手机的MAC在列表里，并且信号强度（SNR）超过设定值，就计为一个有效的连接。当连接数从0变为非0时，就自动开门。
如果钥匙手机的有效连接数降到0, 就自动关门。
ssh root@wireless-router 'iwinfo ra0 assoclist && iwinfo rai0 assoclist'
自动关门的好处是可以防止人走了忘了关门（俺家真的发生过）。

芝麻开门
理论上可以做到，但需要可靠的声纹识别。这个就算了。。

锁死车库门
把发射模块对应的GPIO设为高电平，由于发射模块信号强，距离近，接收端收到的总是1，导致用真的钥匙也开不了门。

结语
不用滚动码编码的车库门其实是毫无安全性可言的。不管是简单的原始信号重放、还是解码后再编码的重放都比较容易实现。但我们可以利用这种不安全为自己提供便利，更灵活地自主开／关门。另外，用发射模块发射高电平可以干扰钥匙的信号达到锁死车库门的效果。

但如果不是通过监听钥匙的信号，用暴力破解Key也并不是那么容易的。因为ASK编码除了需要数据吻合，载波频率相同，还需要数据编码速率，甚至起止电平的时长都要一致。

用廉价的硬件发射模块配合树莓派（或单片机）可以低成本地编码/发射ASK/OOK信号，简单易行。而HackRF加Inspectrum解码仅适合实验和调试用，实用价值不高。后续将会尝试ASK/OOK的自动解码。

* 本文作者：loblab，本文属FreeBuf原创奖励计划，未经许可禁止转载

loblab
loblab
2 篇文章
等级： 2级
||
上一篇：善其事利其器，看那些安全研究者手中的“利器”下一篇：全能无线渗透测试工具，一个LAZY就搞定了
这些评论亮了

t69y 回复
工具都准备好了，就差车库了
)30(亮了
发表评论已有 8 条评论

leveluo (3级) 2017-09-11回复 1楼
虽然没看懂，但还是觉得屌

亮了(3)

t69y 2017-09-11回复 2楼
工具都准备好了，就差车库了

亮了(30)

AdlerI (5级) 这家伙太勤快了，居然写个人描述！ 2017-09-11回复 3楼
虽然没看懂，但还是觉得很厉害！

亮了(1)

Akane (8级) 2017-09-11回复 4楼
车库门打开了，才想起来我没车 :???:

亮了(2)

BMW 2017-09-12回复 5楼
代码都按好了，就差HackRF了

亮了(3)

loblab (2级) 2017-09-30回复 6楼
不需要HackRF的自动接收与译码：[url]http://www.jianshu.com/p/442d5fc27466[/url]

全部代码：[url]https://github.com/loblab/rfask[/url]

亮了(1)

jorge 2017-10-06回复 7楼
用了滚动码依然没什么安全性,这种非交互的滚动码一般都是hcs301芯片,这个也是能破解的,也不用树莓派这个高级 arduino mini+超再生模块就行了

亮了(2)

loblab (2级) 2017-10-07回复
@ jorge 滚动码也是看算法的，伪随机数，KeeLoq, Hitag2，这些虽说可破解，但难度还是比明文高了很多很多，一般人没那么容易搞定的。

前些时试了下自己的菜车钥匙，NXP芯片（芯片无公开资料），滚动码40bit，窗口大于256，也不知什么算法。确定是非交互的。搜集了几百个数据，但无从下手。

用树莓派只是因为手头有很多树莓派。Arduino当然也行，任何有一个GPIO的单片机都可以。

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
loblab
loblab

这家伙太懒，还未填写个人描述！

2
文章数
4
评论数
最近文章
我是怎么打开车库门的：ASKOOK手动解码及重放
2017.09.11

破译优利德旗舰万用表UT181A通讯协议
2017.08.27

浏览更多
相关阅读
麻省理工学院（MIT）打造可食用性电子设备极客DIY：教你做一个简单的“太阳能”移动电源Kali Linux中优秀Wifi渗透工具TOP 10极客DIY：利用树莓派制作一款口袋电脑路由器固件安全分析技术（二）
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论