当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143278

漏洞标题:无线安全之绕过比亚迪某款汽车滚动码继续破车锁(附证明视频)

相关厂商:bydauto.com.cn

漏洞作者: 末笔丶

提交时间:2015-09-24 23:53

修复时间:2015-12-27 17:14

公开时间:2015-12-27 17:14

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-28: 厂商已经确认,细节仅向厂商公开
2015-10-01: 细节向第三方安全合作伙伴开放
2015-11-22: 细节向核心白帽子及相关领域专家公开
2015-12-02: 细节向普通白帽子公开
2015-12-12: 细节向实习白帽子公开
2015-12-27: 细节向公众公开

简要描述:

详细说明:

首先介绍下车钥匙无线钥匙吧...大多数根据传统汽车的破解基本上都是根据车钥匙的重放攻击
简单说下重放攻击.攻击者必须要在远离汽车的地方通过设备捕获到车钥匙发射出来未被使用的信号.然后在到汽车附近将捕获到的信号发射出来完成攻击..
但是捕获的信号只能被使用一次...因为汽车厂商早就考虑到了这个问题.所以在钥匙中加入的滚动码
滚动码就是钥匙每次操作都会产生的随机码.每次操作钥匙都会将滚动码和功能码一起发给汽车..汽车也有存着当前的滚动码..当滚动码一致才执行对应的功能..
回归正题.
首先分析钥匙的频率.通常为315Mhz 和 433Mhz

新建 Microsoft Word 文档 (2) 2-443.png


然后确定当前频段为315Mhz

新建 Microsoft Word 文档 (2) 2-633.png


捕获到的一次信号.每一段的数据都是一样的.除了首段结尾有点区别.

新建 Microsoft Word 文档 (2) 2-840.png


按的时间长了就会出现上图那样或者更多...

新建 Microsoft Word 文档 (2) 2-1036.png


现在来分析下信号内容前面一段为同步引导码.作用是告诉汽车有信号要来注意接收..

新建 Microsoft Word 文档 (2) 2-1250.png


可以发现中间一段是不相同的这就是我上面说过的滚动码是为了防止重放攻击的.其次功能码

新建 Microsoft Word 文档 (2) 2-1466.png


我采样了20多个信号中的滚动码进行分析.分析了大半天..
后来测试重放第二次的时候码都失效了但是后来我脑洞大开拼接了多个已经被使用的信号后发现门开了.经过大量的次数(车门都快坏了)发现是快速的发射两个指令.汽车的滚动码回滚到了第一个指令处!!!!

新建 Microsoft Word 文档 (2) 2-1764.png


原本F是当前的滚动码.F以上的都是被使用过的滚动码.当重放F之前的码后汽车不会有任何反应!

新建 Microsoft Word 文档 (2) 2-1937.png


可拼接两个已经被使用的指令码之后呢?

新建 Microsoft Word 文档 (2) 2-2125.png


当A码拼接BorCorDorE 码发射后.滚动码回滚到A码处.因此B,C,D,E码能够被再次使用了..
多次的测试后.发现只要捕获三次钥匙发出的信号(即使是被使用过也是可以的!)在进行拼接(有先后顺序)就能够无限制的打开or关闭他人的车门
可能有人会问了.这样车钥匙与车滚动码不同步会不会出现打不开车门的问题.其实并不会.汽车能够接收当前码之后的几百个码!
只测试了F0型号

漏洞证明:

http://v.qq.com/page/q/a/m/q01662qmoam.html
W0OYuN

修复方案:

版权声明:转载请注明来源 末笔丶@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-28 17:12

厂商回复:

您好!经过我们确认,所涉及车辆钥匙的加密算法采用的是该车辆生产年代业界通用的钥匙加密技术,按照洞主的破解方法,需满足以下条件:
1、需要专业的无线电采集、编辑和发送设备;
2、拥有汽车钥匙遥控器或一直在车主解锁时信号发射范围内多次捕捉解锁信息.
按照这种方法只能破解被搜集到信息的单一车辆,对其它车辆无效。而且车被破解后只能打开车门(类似车被砸玻璃),无钥匙的情况下无法开动车辆。
我们已在数年前采用了新的钥匙安全加密技术。非常感谢您的报告,谢谢支持。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-25 00:04 | 随风的风 ( 普通白帽子 | Rank:180 漏洞数:61 | 微信公众号:233sec 不定期分享各种漏洞思...)

    提交到女娲,目测5k..

  2. 2015-09-25 00:22 | 泳少 ( 普通白帽子 | Rank:232 漏洞数:80 | ★ 梦想这条路踏上了,跪着也要...)

    大半夜的……

  3. 2015-09-25 10:07 | Ourgame简单 ( 实习白帽子 | Rank:55 漏洞数:13 | 来打酱油.)

    等公开.

  4. 2015-09-25 12:53 | 登陆 ( 普通白帽子 | Rank:626 漏洞数:60 | 老司机...带带我)

    首先得有一辆车

  5. 2015-09-25 13:37 | DNS ( 普通白帽子 | Rank:573 漏洞数:68 | 没有我,你们就去背IP吧)

    mark

  6. 2015-09-25 15:06 | 晓海’ ( 路人 | Rank:1 漏洞数:3 | 一个IT界的酱油帝,坚信分享,创造未来!)

    首先你得在车附近

  7. 2015-09-25 15:14 | 暴走 ( 普通白帽子 | Rank:314 漏洞数:63 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    比亚迪的股票会因此而下跌吗。

  8. 2015-09-25 15:18 | 牛 小 帅 ( 普通白帽子 | Rank:711 漏洞数:166 | =============================是=========...)

    习大大会因该漏洞对国产汽车发展的影响而请洞主喝茶吗?

  9. 2015-09-25 15:25 | 二愣子 ( 普通白帽子 | Rank:177 漏洞数:38 | 毛毛你是个好姑娘)

    首先,你得有一辆车

  10. 2015-09-25 15:35 | 泪雨无魂 ( 普通白帽子 | Rank:180 漏洞数:50 )

    首先,你得有一辆车

  11. 2015-09-25 15:35 | 佳佳佳佳佳 认证白帽子 ( 路人 | Rank:23 漏洞数:5 | I want to be ur sunshine.)

    看完1L的回复 楼主的形象在我心里突然就高大了起来!

  12. 2015-09-25 15:51 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    技术流,赞赞的

  13. 2015-09-25 15:53 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:322 | 国内信息安全任重而道远,还需要厂商和白帽...)

    技术流,赞赞的

  14. 2015-09-25 15:53 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  15. 2015-09-25 15:55 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    @随风的风 你是说补天?

  16. 2015-09-25 15:58 | 贫道来自河北 ( 普通白帽子 | Rank:1465 漏洞数:438 | 一个立志要把乌云集市变成零食店的男人)

    这么多评论洞主还不现身,是不是被比亚迪灭口啦

  17. 2015-09-25 16:02 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    漏洞正在确认,稍后会有大奖励~

  18. 2015-09-25 16:07 | 牛 小 帅 ( 普通白帽子 | Rank:711 漏洞数:166 | =============================是=========...)

    我猜是一个雷+三个$$$

  19. 2015-09-25 16:17 | Herolon ( 普通白帽子 | Rank:242 漏洞数:51 | ******)

    奖励比亚迪车模一晚,快递中,请准备签收

  20. 2015-09-25 16:25 | Coderss ( 路人 | Rank:8 漏洞数:1 | 智商捉急的敲代码)

    首先,你得有一辆车

  21. 2015-09-25 16:34 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:322 | 国内信息安全任重而道远,还需要厂商和白帽...)

    奖励比亚迪车模一晚,快递中,请准备签收

  22. 2015-09-25 16:44 | backda0 ( 路人 | Rank:8 漏洞数:6 | none)

    1万不谢!

  23. 2015-09-25 16:44 | prolog ( 普通白帽子 | Rank:580 漏洞数:111 | Rank:8888 漏洞数:1024 | 低调求发展)

    奖励比亚迪车模凤姐一晚,快递中,请准备签收

  24. 2015-09-25 16:48 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    提交到乌云还是明智点,BT也就奖励点钱,乌云除了奖励钱外,还有乌币,也许还会得到薪资不菲的工作机会。。。。。

  25. 2015-09-25 17:14 | px1624 ( 普通白帽子 | Rank:1042 漏洞数:177 | px1624)

    @鬼魅羊羔 乌云可以上电视啊!最主要可以分享~

  26. 2015-09-25 17:45 | 浮萍 ( 普通白帽子 | Rank:718 漏洞数:151 | 240)

    BYD

  27. 2015-09-25 19:29 | 小杰哥 ( 普通白帽子 | Rank:183 漏洞数:29 | 逆水行舟,不进则退。)

    估计应该会送个望远镜给你,让你天天看着BYD

  28. 2015-09-25 22:22 | 大饭刚 ( 实习白帽子 | Rank:61 漏洞数:13 | 吃饭,喝酒,挖洞洞)

  29. 2015-09-27 08:55 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    I guess its a hybird attack(jamming+replay)

  30. 2015-09-28 17:58 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    突然想起了车站厕所的广告

  31. 2015-10-15 10:10 | 一只寂寞的小鸟 ( 路人 | Rank:28 漏洞数:7 | ส็็็็็็็็็็็็็็็็็็็...)

    @牛 小 帅 猜中了 一个雷 三个美元

  32. 2015-10-15 10:18 | 牛 小 帅 ( 普通白帽子 | Rank:711 漏洞数:166 | =============================是=========...)

    @一只寂寞的小鸟 o(∩_∩)o

  33. 2015-11-22 18:41 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1810 漏洞数:149 | 如果大海能够带走我的矮丑...)

    其实知道是固定码或者滚码,淘宝还有自学习钥匙,字节copy功能~

  34. 2015-11-24 20:35 | evil ( 实习白帽子 | Rank:58 漏洞数:23 )

    @牛 小 帅 三个$$$是多少啊 = =

  35. 2015-12-19 13:39 | 心云 ( 普通白帽子 | Rank:165 漏洞数:56 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)

    首先你得有一辆车

  36. 2015-12-27 17:26 | 禽兽放开那妹子 ( 路人 | Rank:3 漏洞数:3 | 屌丝一枚)

    有技术就是任性