车联网安全：PKES到PEPS中继攻击方案实现研究

一、PKES系统简介

PKES(Passive Keyless Entry and Start)是一种质询优先系统，汽车主动发出质询并寻找钥匙答复的解决方案。

系统工作流程

汽车通过LF(125HZ)发送质询信号
钥匙在信号覆盖范围内收到特定模式后会回复
汽车验证响应后决定是否授权访问

两种配置方案

典型实现：汽车周期性发送短信标探测通道是否存在钥匙
- 低功耗
- 依赖于短信标检测
第二种实现：汽车定期发送包含汽车标识符的较大质询信标
- 直接探测通道
- 钥匙直接响应质询

二、中继攻击原理

中继攻击的目标是即使钥匙不在低频信号覆盖范围内也能操纵汽车。

攻击流程

黑客1收到汽车的质询并转发给黑客2
黑客2向钥匙链发出信号
钥匙检查模式并回答问题的解决方案
黑客2捕获解决方案并传递给黑客1
黑客1对汽车播放信号

攻击特点

难以检测和阻止
不破坏加密机制，仅转发消息
非接触式应用中更为严重

三、PKES系统深入研究

系统特点

用户接近车辆时自动解锁
用户远离车辆时自动锁定
通信使用磁耦合射频信号

通信区域

远程距离(可达100米)：需按钥匙按钮操作
车外1-2米：可用门把手开/关
车内：允许启动发动机

两种操作模式

正常模式：依赖电池工作
备用模式：无需电池(如电池耗尽时)

四、针对PKES的中继攻击

攻击基础

PKES系统只验证信号，不验证物理接近
中继攻击只需转发完整信号

两种中继方案

射频中继：传统125khz/13.52mhz频段检测
近场中继：现代蓝牙或NFC实现

五、中继攻击研究方案

第一套方案：空中中继攻击

发射器捕获低频信号并上转换为2.5GHz
信号放大后通过空气传输
接收器下转换获得原始低频信号
放大后通过回路LF天线再现完整信号

第二套方案：使用现有硬件搭建

需要读卡器和假RFID标签
问题：
- 调制解调增加响应时间
- 可能因调制方式错误导致失败

射频中继攻击硬件方案

流程：

触摸把手发出125khz信号
设备解调低频信号后通过CC1101发送给模块B
模块B通过EM4095给钥匙传输信号
钥匙发送315mhz信号
模块B接收后发送给模块A
模块A传输315mhz信号给车

硬件设计：

模块A：
- AS3933接收125khz信号
- CC1101发送信号
模块B：
- CC1101接收和发送
- EM4095读取RFID信号
其他组件：
- BQ24170充电管理
- atmega3280p主控芯片

近场中继攻击方案

NFC中继攻击(以特斯拉为例)

解锁过程：

车辆请求智能手机虚拟钥匙AID → 卡片回应"6d00"
请求特斯拉NFC卡AID → 卡片回应"9000"
车辆发送加密挑战
NFC卡计算响应(可能需要WTX协商)
卡片发送加密响应 → 车辆验证后解锁

攻击实施：

攻击者1(近车端)：Proxmark RDV4.0模拟NFC卡
攻击者2(近卡端)：靠近受害者NFC卡
通信方式：蓝牙或Wi-Fi

攻击步骤：

Proxmark响应车辆AID请求
接收Challenge并转发给攻击者2
攻击者2与受害者NFC卡交互
转发加密响应回Proxmark
Proxmark发送响应给车辆

蓝牙中继攻击

蓝牙距离测量方法：

旧版本蓝牙依赖RSSI或AOA测定距离
易受中继攻击

攻击类型：

GATT中继攻击
- 工具：Gattacker、Btlejuice
- 限制：延迟明显，不支持未知LTK的链路层加密
HCI中继攻击
- 限制：不支持未知LTK的链路层加密
PHY中继攻击
- 限制：受距离影响大

链路层劫持：

利用Supervision Timeout机制
阻断主从设备通信导致超时断开
攻击者接管连接

劫持关键：

修改CONNECT_IND PDU
获取必要参数：
- Access Address和CRCInit
- Channel Map
- Connection interval
- Hop Increment

六、防御建议

增加物理接近验证机制
实现信号传输时间测量
使用更安全的加密协议
增加多因素认证
定期更新系统固件

七、参考资料

D2T2 - Chasing Cars: Keyless Entry System Attacks
Lennert Wouters - Passive Keyless Entry and Start Systems
Tesla NFC relay attack (The Verge)
Bluetooth LE Link Layer Relay Attacks by Sultan Qasim Khan

车联网安全：PKES到PEPS中继攻击方案实现研究一、PKES系统简介 PKES(Passive Keyless Entry and Start)是一种质询优先系统，汽车主动发出质询并寻找钥匙答复的解决方案。系统工作流程汽车通过LF(125HZ)发送质询信号钥匙在信号覆盖范围内收到特定模式后会回复汽车验证响应后决定是否授权访问两种配置方案典型实现：汽车周期性发送短信标探测通道是否存在钥匙低功耗依赖于短信标检测第二种实现：汽车定期发送包含汽车标识符的较大质询信标直接探测通道钥匙直接响应质询二、中继攻击原理中继攻击的目标是即使钥匙不在低频信号覆盖范围内也能操纵汽车。攻击流程黑客1收到汽车的质询并转发给黑客2 黑客2向钥匙链发出信号钥匙检查模式并回答问题的解决方案黑客2捕获解决方案并传递给黑客1 黑客1对汽车播放信号攻击特点难以检测和阻止不破坏加密机制，仅转发消息非接触式应用中更为严重三、PKES系统深入研究系统特点用户接近车辆时自动解锁用户远离车辆时自动锁定通信使用磁耦合射频信号通信区域远程距离(可达100米)：需按钥匙按钮操作车外1-2米：可用门把手开/关车内：允许启动发动机两种操作模式正常模式：依赖电池工作备用模式：无需电池(如电池耗尽时) 四、针对PKES的中继攻击攻击基础 PKES系统只验证信号，不验证物理接近中继攻击只需转发完整信号两种中继方案射频中继：传统125khz/13.52mhz频段检测近场中继：现代蓝牙或NFC实现五、中继攻击研究方案第一套方案：空中中继攻击发射器捕获低频信号并上转换为2.5GHz 信号放大后通过空气传输接收器下转换获得原始低频信号放大后通过回路LF天线再现完整信号第二套方案：使用现有硬件搭建需要读卡器和假RFID标签问题：调制解调增加响应时间可能因调制方式错误导致失败射频中继攻击硬件方案流程：触摸把手发出125khz信号设备解调低频信号后通过CC1101发送给模块B 模块B通过EM4095给钥匙传输信号钥匙发送315mhz信号模块B接收后发送给模块A 模块A传输315mhz信号给车硬件设计：模块A： AS3933接收125khz信号 CC1101发送信号模块B： CC1101接收和发送 EM4095读取RFID信号其他组件： BQ24170充电管理 atmega3280p主控芯片近场中继攻击方案 NFC中继攻击(以特斯拉为例) 解锁过程：车辆请求智能手机虚拟钥匙AID → 卡片回应"6d00" 请求特斯拉NFC卡AID → 卡片回应"9000" 车辆发送加密挑战 NFC卡计算响应(可能需要WTX协商) 卡片发送加密响应 → 车辆验证后解锁攻击实施：攻击者1(近车端)：Proxmark RDV4.0模拟NFC卡攻击者2(近卡端)：靠近受害者NFC卡通信方式：蓝牙或Wi-Fi 攻击步骤： Proxmark响应车辆AID请求接收Challenge并转发给攻击者2 攻击者2与受害者NFC卡交互转发加密响应回Proxmark Proxmark发送响应给车辆蓝牙中继攻击蓝牙距离测量方法：旧版本蓝牙依赖RSSI或AOA测定距离易受中继攻击攻击类型： GATT中继攻击工具：Gattacker、Btlejuice 限制：延迟明显，不支持未知LTK的链路层加密 HCI中继攻击限制：不支持未知LTK的链路层加密 PHY中继攻击限制：受距离影响大链路层劫持：利用Supervision Timeout机制阻断主从设备通信导致超时断开攻击者接管连接劫持关键：修改CONNECT_ IND PDU 获取必要参数： Access Address和CRCInit Channel Map Connection interval Hop Increment 六、防御建议增加物理接近验证机制实现信号传输时间测量使用更安全的加密协议增加多因素认证定期更新系统固件七、参考资料 D2T2 - Chasing Cars: Keyless Entry System Attacks Lennert Wouters - Passive Keyless Entry and Start Systems Tesla NFC relay attack (The Verge) Bluetooth LE Link Layer Relay Attacks by Sultan Qasim Khan