Vulnerabilidad ante ataques por Replay en Hyundai Tucson

[JKD]

He tenido oportunidad de probar un pequeño accesorio al alcance de cualquiera llamado HackRF One. Hay multitud de vídeos y tutoriales en Youtube sobre las posibilidades de este dispositivo. Se trata de un transceptor SDR que permite "jugar" con señales de radiofrecuencia tanto en recepción como en emisión en baja potencia (corto alcance) y es popular entre radioaficionados. Esto me ha permitido despejar una duda que tenía con nuestro vehículo. Puedo confirmar que nuestro Tucson es vulnerable a ataques por Replay.


¿En qué consiste un ataque por Replay?

Para llevar a cabo este ataque hay que capturar la señal del mando a distancia del coche. Esto es fácil de hacer. Basta con estar en alguna parcela cercana al coche con el equipo SDR a la escucha en el rango de frecuencias del mando. Cuando uno presume de que abre la puerta de su coche a 30 metros de distancia no sabe a lo que realmente se expone . La mayoría de los mandos a distancia transmiten en el rango UHF de 433 MHz y el nuestro sigue la misma regla. Además el HackRF muestra un espectro en pantalla con un ancho de banda de 2MHz que te permite ver sobre qué frecuencia se emite la señal sin saber exactamente cuál es. Una vez que sabes esto, sólo hay que capturar la señal cuando el usuario pulsa el mando para abrir y para cerrar las puertas.

Con las señales guardadas, sólo hay que reproducirlas (replay) para abrir o cerrar las puertas.

En las pruebas que he realizado "en mi propio vehículo" , en una sola captura he pulsado repetidamente el mismo botón tanto para la apertura como para el cierre. La idea era comprobar si el coche utiliza varios códigos diferentes que se van rotando en cada pulsación. De esa forma, al hacer el replay quería constatar con qué pulsación (primera, segunda, tercera ...) reaccionaba el coche.


Conclusiones

En el vídeo se puede ver que no sólo el coche desbloquea las puertas y las bloquea, sino que lo hace repetidamente. Esto indica que no usa rotación de códigos ni hay una comunicación previa para cifrar la transmisión de un código validable sino que usa siempre la misma señal. El sistema utiliza una señal para desbloquear las puertas, otra para bloquearlas y al menos otra más para el portón trasero pero en todo caso, siempre es la misma señal.


Cosas que no he comprobado aún

Solamente he probado los botones del mando. Pero sabemos que el coche detecta la presencia del mando en diferentes puntos del vehículo por lo que hay una comunicación. Esa comunicación puede que también sea vulnerable ante el mismo ataque por lo que no puedo asegurar que una forma de librarse del problema sea no usar los botones del mando y usar directamente el botón de la manilla de la puerta una vez que el coche ha detectado presencia del mando. Es decir, desconozco si también se puede falsear la presencia del mando pero a falta de pruebas al respecto, quiero creer que la opción más segura es pulsar el botón de la manilla, evitar usar el mando más que como detector presencial y abrir el portón trasero manualmente bien desde la puerta o desde el botón del interior del vehículo. Dependerá de la paranoia de cada uno.

Usar la llave en vez del mando no sería lo más correcto ya que al abrir la puerta la alarma podría sonar y al cerrar el coche, creo que la alarma no se rearmaría.

 

[Quentin]

Es una faena, pero entiendo que con difícil o nula solución.
Estamos igual de expuestos que la mayoría no? O por lo general tienen más seguridad que Hyundai otras marcas?

Cómo digo es una faena, pero también es delicado darle publicidad a estos temas.

Parece mentira, pero hay mucho maleante por internet inventando y mejorando sus fechorías.

No sé si hay opción de ocultar algunos temas, solo visibles para usuarios contrastados.

 

[JKD]

Es una faena, pero entiendo que con difícil o nula solución.
Estamos igual de expuestos que la mayoría no? O por lo general tienen más seguridad que Hyundai otras marcas?

Cómo digo es una faena, pero también es delicado darle publicidad a estos temas.

Parece mentira, pero hay mucho maleante por internet inventando y mejorando sus fechorías.

No sé si hay opción de ocultar algunos temas, solo visibles para usuarios contrastados.

Yo no me preocuparía por eso. Cuando se expone una vulnerabilidad siempre surge ese debate. Pero no es una vulnerabilidad nueva. Sólo que no sabíamos (al menos yo) si nuestro coche también lo padecía. Los que de verdad hacen esas fechorías, saben de sobra qué marcas y vehículos son vulnerables y cómo explotar esas vulnerabilidades desde hace años. No es una técnica nueva. Los únicos que permanecemos en la ignorancia somos nosotros y eso nos da una sensación de seguridad que no es realista. Porque el que sabe, te la puede liar, pero el que no sabe, con romperte el cristal del coche le basta. El que se decida a entrar va entrar de una forma u otra. Y creo que es una obviedad decir que si te pones a hacer estas cosas con propiedades ajenas te expones a unas consecuencias penales de las que solo tú eres responsable.

Lo que me preocupa y creo que es importante conocer es que los ingenieros que han desarrollado el coche utilicen un sistema tan débil en un vehículo relativamente reciente ya que este problema es muy común en vehículos antiguos.

Radio Attack Lets Hackers Steal 24 Different Car Models
En este artículo cita los modelos afectados que se detectaron en su momento (2016). De Hyundai cita el Santa Fe. Pero del Tucson siempre tuve la duda. He confirmado el problema con mi coche.

 

[pepemaria]

Eso se lleva haciendo desde hace muchos años y sobre todo en vehículos de alta gama y en grande superficies, no es nuevo no te preocupes que si quieren llevarse el coche se lo llevan en decimas de segundos y no te enteras

 

[jallamas]

He tenido oportunidad de probar un pequeño accesorio al alcance de cualquiera llamado HackRF One. Hay multitud de vídeos y tutoriales en Youtube sobre las posibilidades de este dispositivo. Se trata de un transceptor SDR que permite "jugar" con señales de radiofrecuencia tanto en recepción como en emisión en baja potencia (corto alcance) y es popular entre radioaficionados. Esto me ha permitido despejar una duda que tenía con nuestro vehículo. Puedo confirmar que nuestro Tucson es vulnerable a ataques por Replay.


¿En qué consiste un ataque por Replay?

Para llevar a cabo este ataque hay que capturar la señal del mando a distancia del coche. Esto es fácil de hacer. Basta con estar en alguna parcela cercana al coche con el equipo SDR a la escucha en el rango de frecuencias del mando. Cuando uno presume de que abre la puerta de su coche a 30 metros de distancia no sabe a lo que realmente se expone . La mayoría de los mandos a distancia transmiten en el rango UHF de 433 MHz y el nuestro sigue la misma regla. Además el HackRF muestra un espectro en pantalla con un ancho de banda de 2MHz que te permite ver sobre qué frecuencia se emite la señal sin saber exactamente cuál es. Una vez que sabes esto, sólo hay que capturar la señal cuando el usuario pulsa el mando para abrir y para cerrar las puertas.

Con las señales guardadas, sólo hay que reproducirlas (replay) para abrir o cerrar las puertas.

En las pruebas que he realizado "en mi propio vehículo" , en una sola captura he pulsado repetidamente el mismo botón tanto para la apertura como para el cierre. La idea era comprobar si el coche utiliza varios códigos diferentes que se van rotando en cada pulsación. De esa forma, al hacer el replay quería constatar con qué pulsación (primera, segunda, tercera ...) reaccionaba el coche.


Conclusiones

En el vídeo se puede ver que no sólo el coche desbloquea las puertas y las bloquea, sino que lo hace repetidamente. Esto indica que no usa rotación de códigos ni hay una comunicación previa para cifrar la transmisión de un código validable sino que usa siempre la misma señal. El sistema utiliza una señal para desbloquear las puertas, otra para bloquearlas y al menos otra más para el portón trasero pero en todo caso, siempre es la misma señal.


Cosas que no he comprobado aún

Solamente he probado los botones del mando. Pero sabemos que el coche detecta la presencia del mando en diferentes puntos del vehículo por lo que hay una comunicación. Esa comunicación puede que también sea vulnerable ante el mismo ataque por lo que no puedo asegurar que una forma de librarse del problema sea no usar los botones del mando y usar directamente el botón de la manilla de la puerta una vez que el coche ha detectado presencia del mando. Es decir, desconozco si también se puede falsear la presencia del mando pero a falta de pruebas al respecto, quiero creer que la opción más segura es pulsar el botón de la manilla, evitar usar el mando más que como detector presencial y abrir el portón trasero manualmente bien desde la puerta o desde el botón del interior del vehículo. Dependerá de la paranoia de cada uno.

Usar la llave en vez del mando no sería lo más correcto ya que al abrir la puerta la alarma podría sonar y al cerrar el coche, creo que la alarma no se rearmaría.

Gran aporte. Por lo que dices, a priori parece mucho más vulnerable si usas el botón del mando que si lo acercas y pulsas el botón de la maneta de la puerta, aunque quizás también se pueda copiar la señal. Igual estoy equivocado pero pasa algo parecido con los mandos de las puertas de garajes comunitarios.

 

[Bartolome]

Esta imitación de una Game Boy permite robar coches en cinco segundos (elespanol.com)

 

[irius]

Me he quedado muerto viendo el vídeo... Casi que me alegro que mi Maxx vaya sin llave inalámbrica para el arranque. Seguro que les da más trabajo e igual deciden robar otro...

 

[Offsone]

Está bien saberlo, pero si se quieren llevar el coche se lo van a y punto.
Quizá abrir con el botón de la manilla sea un poco más seguro, también abrir con la aplicación a traves del móvil pueda ser otra garantía aunque más tediosa.
En cualquier caso, muy interesante tú información.