Menu
in

Лучший друг угонщика – бесключевой доступ. Эксперимент

Стоящая у тротуара машина опознала меня за пару шагов. Включила подсветку салона, раскрыла лопухи зеркал и отреагировала на протянутую руку характерным щелчком центрального замка. Я завожу двигатель, трогаюсь — и замечаю на дисплее предупреждающую надпись: «Key not found». Все верно, ключа от этой машины у меня действительно нет. И не было. Зато есть электронное устройство, позволяющее открывать и заводить автомобили телепатическими методами — на расстоянии. Угонщики называют его Длинной рукой.

Вам уже доводилось поездить на автомобилях с «золотым ключиком»? Тем, который автоматически ставит машину на охрану, открывает двери и позволяет заводить двигатель кнопкой, не доставая брелок из кармана? Классная вещь! Система настолько умна, что теперь обычный ключ зажигания — что каменный топор. По отраслевой терминологии такие системы называются PKES (Passive Keyless Entry and Start — «пассивный бесключевой доступ и запуск двигателя»), а в упрощенном виде их работа выглядит так. Как только водитель подходит к автомобилю и нажимает кнопку на рукоятке двери (вместо нее может стоять тачпад или электронный створ, реагирующий на кисть руки), машина «просыпается» и начинает диалог с ключом:

— Привет, я автомобиль Х с электронным номером Y и кодом-идентификатором Z. А ты кто?

Слева «эмулятор», а справа — «считыватель». Внутри этих коробочек спрятаны приемники и передатчики на три диапазона (125 кГц, 433 МГц и 900 МГц), полосовые фильтры, усилители, процессоры и литий-полимерные батареи большой емкости. Коричневый кант, опоясывающий один из блоков, — это рамочная антенна. После включения питания блоки устанавливают между собой высокоскоростной канал передачи данных, который позволяет ретранслировать «ключевые» запросы автомобиля и удаленно принимать ответы метки. Создатели криминального радиоудлинителя хорошо разбираются в вопросах электромагнитной совместимости: при работе Длинной руки можно говорить по мобильному телефону или, наоборот, включать генераторы помех сотовой связи для блокировки GSM-трафика систем мониторинга

Этот посыл передается в эфир на «транспондерной» частоте 125 кГц, и если ключ-брелок находится рядом и понимает язык запроса, он тут же отвечает машине, используя уже свою рабочую частоту (у нас и в Европе это 433 МГц или 868 МГц). Причем отвечает хитрой цифровой комбинацией, сгенерированной по индивидуальному алгоритму шифрования:

— Привет, я твой ключ! Код ответа: X123.Y456.Z789.

Чтобы исключить электронные подтасовки (воспроизведение заранее записанных посылок, передачу кода по каналам сотовой связи или мобильного интернета), ответ от электронного ключа должен поступить в режиме реального времени (счет задержкам ведется на наносекунды), так что любые «аудио­спектакли» и попытки открыть машину «под фанеру» обречены на провал. Но…

О криминальной уязвимости PKES-систем заговорили в 2011 году, когда команда швейцарских программистов продемонстрировала метод «удлинения» канала связи «автомобиль-ключ». Технологию назвали Relay Station Attack. Забавно, что к тому времени российские угонщики уже вовсю пользовались такими устройствами (АР №8, 2011). А этим летом в мои руки попали сразу два радиоудлинителя.

Первый предназначен для угона «бесключевых» автомобилей Toyota и Lexus, выпущенных до 2013 года, а второй «удлиняет» системы доступа Intelligent Key автомобилей Nissan и Infiniti нынешнего поколения. Каждая Длинная рука состоит­ из двух блоков: «считывателя» и «эмулятора», — которые легко помещаются в небольшой плечевой сумке. После включения блоки устанавливают между собой высокоскоростной канал передачи данных, позволяющий ретранслировать «ключевые» запросы автомобиля и удаленно принимать ответы метки.

Зондирующие антенны на 125 кГц установлены по периметру кузова так, чтобы их диаграммы не перекрывались. Благодаря этому машина всегда знает, откуда отвечает ключ, и разрешает выполнение только «географически привязанных» команд. К примеру, двигатель запустится в том случае, если в радиообмене с ключом будет задействована антенна в спинке водительского сиденья, а багажник откроется лишь при успешном опросе ключа из заднего сектора

Машины своих знакомых я открывал так. Сначала ждал, пока законный хозяин припаркует автомобиль, выйдет, закроет дверь, оглядится… Теперь, держа в сумке заранее включенный «эмулятор», подхожу к водительской двери — и в тот момент, когда мой сообщник со «считывателем» приближается к владельцу машины (свои действия мы координируем по телефону, используя невинные словесные обороты), нажимаю кнопку на дверной ручке. Автомобиль выдает поисковый запрос, «эмулятор» принимает его, демодулирует, усиливает — и тут же передает по радиомосту сообщника. Его аппаратура производит обратные действия — и «опрашивает» ключ, находящийся в кармане владельца. Схватив ответную посылку, «удлинитель» тем же путем отправляет ее обратно — и через «эмулятор» ретранслирует машине. Тяну ручку — и дверь гостеприимно распахивается!

Перед запуском двигателя система доступа должна еще раз запросить ключ (через антенну в спинке водительского сиденья), поэтому «эмулятор» я по-прежнему держу рядом — и, нажав на кнопку «Start/Stop», слышу бодрый рокот стартера. Едем! Теперь уже ключ не нужен — ни настоящий, ни «эмулированный»: мотор будет работать до тех пор, пока я сам его не заглушу!

А как же запрет на проведение «радиоспектаклей»? Фишка в том, что информация между блоками передается без цифровой обработки сигналов, методом прямого переноса спектра, — и это позволяет уложиться в лимит времени, отведенный системой доступа автомобиля на диалог с ключом.

Вот мой улов. Седан Infiniti Q50, Nissan X-Trail, Nissan Pathfinder, Toyota Highlander, Toyota Land Cruiser 200, Toyota RAV4 и Lexus RX 350. Неплохо за пару дней?

На открытой местности криминальные коробочки «цеп­ляли» их ключи из карманов водителей на расстоянии от одного до трех метров (разброс определялся расположением «считывателя», антенна которого имеет выраженную диаграмму направленности, и наличием помех). Дальность же «переброса» кода, то есть расстояние между хозяином и машиной в момент угона, даже в городе может достигать более трехсот метров. Однако угонщики обычно перестраховываются, атакуя­ жертву сразу после того, как она покидает место парковки.

Способов приблизиться к человеку, чтобы не мозолить ему глаза, сколько угодно: лифт, вращающиеся стеклянные двери на входе в гипермаркет, очередь в кассу… Можно даже заставить электронную метку откликнуться из закрытого помещения. Зайдя домой, ключи вы кладете… Скажем, на тумбочку в прихожей, верно? Входная дверь железная, но блоки, которыми обложен короб, радиопрозрачные!

Докладываю: из пяти попыток «украсть» код от автомобиля «через стену» успешными оказались три — Копперфильд позавидует! А если соорудить внешнюю направленную антенну (подходящим камуфляжем для нее будет раскрытый зонт), то дальность транспондерного «выстрела» увеличится в разы. И, скорее всего, большинство угонов дорогих автомобилей с загородных участков осуществляется именно так.

Блоки радиоудлинителя Toyota/Lexus собраны из стандартных корпусов для радиоэлектронных устройств. Платы имеют антистатическое покрытие, элементы с консольным монтажом закреплены стяжками и термоклеем, а питание подведено через надежные силовые разъемы. Маркировка с ключевых элементов схемы удалена механическим способом (это осложняет копирование устройства методом реверс-инжиниринга), а незакрепленный разъем антенны радиомоста намекает на возможность использования внешнего излучателя. Следов национальной принадлежности этого устройства мы не нашли, но некоторые технологические особенности наводят на мысль, что радиоудлинитель собран в одной из стран бывшего соцлагеря

Вы уже выглянули в окно, испугавшись за свою машину? А сегодняшних попутчиков в лифте запомнили? Утешает лишь то, что раскошелиться на ретранслятор кода ключа может себе позволить лишь устойчивая криминальная группировка: стоит такая штуковина от десяти до пятидесяти тысяч евро. Разброс цен определяется криминальным маркетингом, ведь производителю ретрансляторов нет смысла продавать угонщикам универсальную «открывашку». Как правило, предлагается аппаратная часть с конкретной прошивкой, «форматированная» под системы доступа автомобилей определенной марки. А потом выходят программные обновления для машин свежих годов выпуска, платить за которые надо отдельно. Знакомый подход, правда? И если верить рекламным материалам производителя (концы легко находятся в интернете по ключевым запросам), то купить можно любой ретранслятор — хоть для Renault, хоть для Bugatti, — так что проблема, увы, глобальная.

Что делать, чтобы связать угонщикам их Длинные руки?

Вырубить систему Keyless Go, вытащив из ключа батарейку! (По секрету: при документально заверенной деактивации PKES некоторые страховые фирмы предлагают владельцам криминогенных машин льготные тарифы по риску «Угон».) Но тогда придется что-то ставить взамен. Если решитесь, то ни в коем случае не соглашайтесь на охранную сис­тему с двусторонней связью, работающую в режиме «Slave»: по сути, это аналог штатной системы PKES и точно так же «удлиняется». Толковым рецептом против Relay Station Attack является отключение штатного радиоканала и перевод управления модулем SmartKey на блок стороннего производителя, управляемый своей меткой. Специалисты по защите автомобилей просят за такую услугу 15 тысяч рублей. Разработан и «интеллектуальный» модуль защиты, анализирующий радиообстановку вокруг машины, выявляющий работу радиоудлинителя и умеющий ему противостоять. Стоит он около 8000 рублей.

Ну а пока — прячьте брелок от машины в клетку Фарадея: чехольчик или футляр с металлическим (фольгированным) экраном. Такое убежище для «золотого ключика» можно сделать и самому — хотя бы из сигаретной пачки.

Это образец «почерка» ретранслятора для угона автомобилей Nissan и Infiniti, взятый профессиональным анализатором спектра Agilent Technologies. Сигнал на частоте 902 МГц — это и есть радиомост, служащий для передачи шифрованных пакетов между блоками Длинной руки

Источник: autoreview.ru

Подобається контент? Підтримай Autogeek на Patreon!

Leave a Reply

Exit mobile version