Diebstahl

So sieht die Antenne aus:

https://www.ebay.de/itm/395564214141

Jetzt müsste man nur noch rausfinden, wo die verbaut ist

Edit: In der Tür. Bzw. wahrscheinlich in mehreren Türen

Hat das schon mal jemand ausprobiert?

Edit2: Nee, bei Hyundai ist es in der Tür. Beim Kia EV6 vorne und hinten in der Stoßstange, wenn ich das richtig sehe

https://www.kiapartsnow.com/ge…=&extra1=&extra2=&filter=()

* Unsere Seite enthält Affiliate-Links, für die unser Forum möglicherweise eine Vergütung bekommt.

* Unsere Seite enthält Affiliate-Links, für die unser Forum möglicherweise eine Vergütung bekommt.

Zitat von TobiasE91

1.) Wenn ich das so vom schnellen überfliegen richtig gesehen habe, dann wird vom Auto zum Schlüssel bei 125kHz und andersrum bei 433.92MHz gesendet.

2.) Wenn da auf unterschiedlichen Freuqenzen gefunkt wird, wäre es dann nicht eine Option, die 125kHz Antenne im Auto abzuziehen?

3.) Wisst ihr, wo die verbaut ist?

Zu 1.) Korrekt, der Waschanlagen Modus soll 125kHz verhindern. Somit würde der Gameboy kein Signal zum berechnen bekommen. Soweit meine Erinnerung von vor einiger Zeit.

Zu 2.) Davon gibt es zu viele Antennen. Außerdem ist das ein Eingriff in den EV6 und wir wissen nicht, was das für Folgen hat. Auf jeden Fall keine volle Garantie von KIA mehr. Leasing Fahrer hätten ebenfalls schlechtere Karten.

Zu 3.) Um den ganzen EV6 herum.

Flipper bekommt ein Firmware Update

Hacking-Gadget: Firmware 1.0 für Flipper Zero ist da und bringt Appstore mit

Unter der Haube gibt es zahlreiche Verbesserungen für das kompakte Hackerwerkzeug Flipper Zero. Auch die Akkulaufzeit steigt deutlich.

heise.de

super, dann muss man immerhin kein 15k Teil kaufen, sondern kann auch für 200€ Kias klauen

Zitat von TobiasE91

......Vielleicht kann ich ja auch die gesendeten Daten demodulieren. Sie sind dann zwar immer noch verschlüsselt, aber ich bin neugierig. Vielleicht sieht man ja was.

.........

Ohne, dass Du gleich das Signal demodulieren muss.

Der Schlüssel sendet immer in dem Moment in dem die Zentralverriegelung die Türen entsperrt ein 433.92MH Signal.

1) wenn man am Schlüssel die Öffnen Taste drückt.

2) wenn man in die Nähe kommt und bei Annäherung automatisch öffnen, eingeschaltet hat

3) wenn man auf den Türgriff drückt und bei Annäherung automatisch öffnen, ausgeschaltet ist.

Darum könnte es sein, dass die Türen wird immer durch ein 433.92MH geöffnet wird.

(der Gameboy müssten dann auch auf beiden Frequenzen aktiv sein)

Wenn ich das 433.92MH mit meinen SA anschaue, scheint das Signal bei Variante 1 länger als bei 2 und 3 zu sein. Bei 2 und 3 hat ja vorgängig auch schon eine Kommunikation auf 125kHz stattgefunden und die Zusammengehörigkeit von Auto und Schlüssel wurde ja bereits geklärt.

Evtl. kannst Du mit dem HackRF one einen Unterschied des 433.92MH Singals von Variante 1 zu 2/3 ausfindig machen.

Ok, also meine Erkenntnisse:

125kHz konnte ich nicht messen, weil der HackRF erst ab 1MHz messen kann. Mein Flipper Zero kann aber 125kHz RFID-Chips auslesen. Wenn man ihn auf lesen stellt und direkt neben den Schlüssel hält, kann man zwar nichts lesen, aber das Keyless Go System funktioniert nicht mehr. Wenn man bei eingeschalteter Zündung im Auto sitzt und den Flipper Zero mit 125kHz-lesefunktion neben den Schlüssel hält, sagt das Auto, dass der Schlüssel nicht im Fahrzeug ist. Also wird die 125kHz-Frequenz wohl hauptsächlich zum detektieren bzw. lokalisieren des Schlüssels genutzt.

433MHz: Es sieht so aus, als wenn die Kommunikation hier in beide Richtungen (also Auto <--> Schlüssel) läuft.

Variante 1:

Das Signal vom Schlüssel ist tatsächlich deutlich länger, weil es wiederholt wird. Das Signal besteht aus insgesamt 5x28 Byte, also 5x [Präambel (2 Byte), Header (10 Byte, immer gleich), gedrückte Taste (2 Byte), Daten (14 Byte, jedes mal unterschiedlich)]

Variante 2 und 3:

Vermulich Kommunikation in beide Richtungen:

vom Auto: 8 Byte, die immer gleich sind

vom Schlüssel: 16 Byte (Präambel (6 Byte), Data (6 Byte, jedes mal unterschiedlich), Postambel (4 Byte)

Wie ich auf die Einteilung der Signale gekommen bin:

Ich habe verschiedene Varianten mehrmals gemessen.

Die Präambels sind meistens 0xAA, was sich zur Synchronisierung gut eignet und üblich ist, da in binär: 0b10101010, man kann also die Bitlängen gut messen

Header war immer gleich, ggf. zwischen den Schlüsseln unterschiedlich.

Daten waren immer unterschiedlich.

Postambel war immer am Ende und immer gleich.

Wahrscheinlich sind auch irgendwo noch Prüfsummen mit drin, die konnte ich jetzt aber nicht identifizieren.

Ich habe das ganze mit einem HackRF one und GNU-Radio gemacht. Für die Auswertung habe ich einige Funktionen selbst programmiert. Es ist also möglich, dass hier Fehler drin sind.

Meine Messdateien möchte ich nicht teilen, weil ich nicht weiß, was davon spezifisch für meinen Schlüssel oder mein Auto ist.

Meine Erkenntnisse daraus:

- das Abziehen der 125kHz-Antenne scheint keine gute Idee zu sein, weil das Auto dann wohl auch nicht mehr erkennt, dass der Schlüssel im Auto ist

- wenn man die Knöpfe auf dem Schlüssel drückt, werden 14 variable Bytes gesendet, beim Annähern oder Touch nur 6, was potentiell unsicherer ist.

- wie man sich jetzt aber dagegen wehren kann, weiß ich trotzdem nicht

Zitat von TobiasE91

Meine Erkenntnisse daraus:

-1- das Abziehen der 125kHz-Antenne scheint keine gute Idee zu sein, weil das Auto dann wohl auch nicht mehr erkennt, dass der Schlüssel im Auto ist

-2- wenn man die Knöpfe auf dem Schlüssel drückt, werden 14 variable Bytes gesendet, beim Annähern oder Touch nur 6, was potentiell unsicherer ist.

-3- wie man sich jetzt aber dagegen wehren kann, weiß ich trotzdem nicht

Zu 1.) Jupp, sehe ich auch so.

Zu 2.) Ob das gut oder schlecht ist, kann ich nicht sagen. Die Frage wäre erst einmal für mich, ob die 6 Byte die selbe Funktion haben, wie die 14 Bytes. - Nur angenommen "ja, identisch, aber abgespeckt", dann wäre es in der Tat unsicherer.

Zu 3.) Dazu müssen wir erst einmal Klarheit darin bekommen, ob der Gameboy 125kHz zwingend benötigt, um seinen Dienst machen zu können. Fehlt dem Gameboy 125kHz, um daraus etwas gewinnbringendes abzuleiten, kann er nicht korrekt über 433MHz mit dem EV6 kommunizieren. - Dann würde der Waschanlagen-Modus was bringen.

Ich meine, wir hatten das hier schon einmal herausgearbeitet. Aber die Suche ... 🥃

@TobiasE91 vielen Dank für die ausführliche Analyse.

Daraus entnehme ich die folgenden Punkte:

1. Verwendet man die Taste auf den Schlüssel, kommt der Rolling Key zur Anwendung.
   „Daten (14 Byte, jedes mal unterschiedlich)“
   
   Ohne mitzuhören geht da wohl nichts. Selbst wenn man den Algorithmus für den Rolling Key kennt, dürfte es nach nur 1x mithören schwierig sein den kommend Key zuverlässig zu berechnen.
2. Nachdem eine Kommunikation auf 125kHz stattgefunden hat, und die Zugehörigkeit zwischen Auto und Schlüssel geklärt wurde, genügt ein einfaches 433MHz Standard Signal um das Auto zu öffnen. „vom Auto: 8 Byte, die immer gleich sind“

Das unterstützt meine bisherige Annahme, und die Schlussfolgerung die ich für mich ziehe.
Der Gameboy kommuniziert auf 125kHz und schaffet es mit einer passenden Softwaren nach eingen Sekunden das Vertrauen des Autos zu erlangen. Danach muss er nur noch das Standard Signal auf 433MHz senden und das Auto öffnet sich.
Somit bietet der Waschanlagenmodus für mich genügend Sicherheit. Genügend Sicherheit dass ich mich damit wohl fühle.

ThHuEV6 Für mich gibt es keinen Zweifel, dass die 125kHz zwingend benötig werden. Bisher war mir aber nicht klar wie das mit den 433MHz gelöst wird. Da es die ja offensichtlich auch zwingend braucht. Diese Frage wurde nun soeben von TobiasE91 beantwortet.

Zitat von birdy

Für mich gibt es keinen Zweifel, dass die 125kHz zwingend benötig werden.

Das kam bei der letzten (oder vorletzten? Auf jeden Fall gab es da ausführliche Messungen) Diskussionsrunde auch recht eindeutig heraus.

Für mich ist das auch das Mittel der Wahl wenn es um unkomplizierte Diebstahlsicherung geht.

Drehe mal den Spieß um…. 🧐

Wessen EV6 ist trotz Waschanlagenmodus gestohlen worden?