Kannst Du testweise mal ein Tablet oder Handy probieren?
Auch da ist alles zu sehen (nach dem Login)
Beiträge von xc0n42
-
-
Es kommt bei den Bildern immer ein Fehler. Hast Du am Computer Copy&Paste gemacht oder Forum Upload!
Sowohl als auch. Bei mir wird auch alles korrekt angezeigt
-
So, getestet!
Zum ersten Mal in meinem Leben eine Antenne gebaut, anders ließ sich LF nicht empfangen:
Die Kommunikation passiert auf 125kHz. In beiden Fällen war der Schlüssel in der Nähe.
Normal verriegelt:
with_lf_transmission_intervals.jpg
Man erkennt deutlich ein Signal ca. alle 3 Sekunden.
Beim Druck auf den Griff passiert noch etwas mehr Kommunikation, vermutlich eine Challenge-Response (die etwas dickere rote Linie):
Jetzt Waschanlagenmodus (unten im Screenshot sind noch Signale im Normalmodus zu sehen, danach Aktivierung des Waschanlagenmodus):
without_lf_transmission_intervals.jpg
Beim Druck auf den Griff gibt es ebenfalls keinerlei Signal.
Ich für meinen Teil beantworte die Frage, ob der Waschanlagenmodus gegen die Gameboy-Attacke hilft mit "Ja".
Aus folgenden Gründen:
1) In den Gameboy-Videos sieht man, dass der Angreifer auf den Griff drückt. Daher erscheint es mir notwendig, dass der Angriff das dadurch ausgelöste Signal benötigt.
2) Der Waschanlagenmodus schaltet die LF Kommunikation komplett ab (was auch durchaus vorteilhaft für den 12V Strombedarf im Standby sein dürfte)
-
Hier steht ja, bis runter bei 100kHz. DCF77 mit 77,5kHz liegt noch weiter drunter, Das kann der NESDR RTL-SDR nicht, deshalb wird da nichts funktionieren.
Vollkommen richtig, hatte ich gestern nicht mehr im Blick.
Mittelwelle auf 800kHz funktioniert:
Auf Langwelle ist rein gar nichts zu sehen:
Zumindest auf der DCF39 Markierung sollte ein Signal sichtbar sein :-|
Bevor da nichts zu sehen ist wird der EV6 Scan auch wenig erfolgversprechend sein.
-
Dieses Low Frequency Scanning ist eine Wissenschaft :-|
Radiosender auf 5MHz kein Problem, im kHz-Bereich nur Rauschen. Getestet mit DCF77 auf 77,5kHz - nichts zu erkennen.
Ich vermute, es ist die unpassende Antenne. Mir fehlt hier die Funkerfahrung. Evtl. kann mir jemand sagen, wie ich etwas rudimentäres basteln kann.
Der Adapter am Stick ist eine "Balun One Nine":
-
Der hier geht runter bis 100khz
Wird heute geliefert
* Unsere Seite enthält Affiliate-Links, für die unser Forum möglicherweise eine Vergütung bekommt.
-
Ok, dann würde ich das so sehen, dass der EV6 im Waschanlagenmodus keine LF RFID 125kHz wake messages mehr sendet, womit der Schlüssel auch nichts mehr berechnet und damit keine Antwort auf UHF Funk 433MHz zurück sendet.
Genau das!
ZitatInteressant wäre für mich noch, ob für das ausklappen der Spiegel schon eine valide Aushandlung erfolgen muss oder nur ein RFID Ping reicht. Damit könnte man dann z.B. mit dem Flipper ( xc0n42 kam der Teil?) vielleicht eine Reaktion am EV6 anregen?
Ja, kam. Allerdings bisher leider erfolglos am EV6 getestet. Der Scanner hat die gleiche Frequenzlimitierung wie normale RTL-SDR Sticks und die RFID App zeigt keinerlei Reaktion. Wobei PKES wohl auf 134kHz arbeitet und RFID auf 125kHz.
-
Das scheint PKES (Passive Keyless Entry and Start) Standard zu sein:
(Quelle: https://tches.iacr.org/index.p…ES/article/view/8289/7639 )
-
Das entspricht, wenn ich's nicht falsch gelesen habe, meinen Beobachtungen.
In diesem Fall:
Zitat- Im Moment wenn am Auto der „Knopf“ gedrückt wird (kurzes 433MHz Signal). Voraussetzung: Keyless-go ist aktiv, autom.-öffnen ist aus.
ist der Schlüssel vermutlich in der Nähe.
Wenn du auf den "Knopf" drückst ohne dass der Schlüssel in der Nähe ist (und so ein Wake-up per 135kHz bekommt), dürfte auch keine Kommunikation auf 433MHz messbar sein.
-
Hier ist mal beschrieben, wie das bei einem Tesla Reverse engineered wurde:
https://tches.iacr.org/index.p…ES/article/view/8289/7862
(der Vortrag auch als Video:)Externer Inhalt www.youtube.comInhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.und das sieht nach einem "Forscher-Gameboy" aus:
Zwei Kommunikationsmodule: der RasPi verbunden mit einem RTL-SDR für 433MHz und einem modifiziertes Proxmark3 Board für 134kHz.
Auf letzterer Frequenz wird die CarId ausgelesen (durch Druck auf den Türgriff):
und die reicht dann scheinbar schon aus, um die Challenge auf 433MHz korrekt zu beantworten.
Alles in allem läuft das auf die initial von mir beschriebene schwache Kryptoimplementierung von Hyundai/Kia hinaus.