OpenSesame是一種設備，這種設備可以通過無線技術來打開任何一個設有固定密碼的車庫門，我從中發現了一個攻擊無線固定pin碼設備的新方法。

演示視頻以及詳細信息：

opensesame源代碼：https://github.com/samyk/opensesame

防御措施：如果你所使用的大門或車庫門帶有“固定密碼”，那么為了防范這種類型的攻擊，你需要確保你的系統已升級至最新版本，并且使用的是滾動碼，跳轉碼，Security＋或者智能碼。這些措施雖然不能保證萬無一失，但確實可以防止OpenSesame所發起的傳統暴力破解攻擊。

犯罪分子：為了防止代碼被濫用，我所披露的代碼是經過修改的。如果你是RF和微控制器方面的專家，你也許可以對這些代碼進行修復，但你也許從一開始就不需要我所提供的這些幫助了，對嗎？

???性能

OpenSesame不僅會利用無線車庫和大門中固定pin碼的有限密鑰空間，而且我發現，它還會通過這種新型的攻擊方式將打開車庫大門的時間縮短95%。這就意味著，你只需要幾秒鐘便可以打開大多數的車庫大門了。

OpenSesame采用的是Mattel公司的短信工具Radica Girltech IM-ME，這個工具支持所有我們發動攻擊所需要的設備，這些設備包括一個高效的TI CC1110 sub-GHz RF芯片，一臺LCD顯示器，鍵盤，背光照明裝置等等。

這個工具是在巨人的肩膀上開發出來的，其中包括由Michael Ossmann開發的原始版本的opensesame，IM－ME代碼，Dave開發出的IM-ME LCD逆向工程技術，還有Mike Ryan提出的高效思想。在文章結尾提供了參考鏈接以及參考資源。

注意，通過使用滾動碼是無法打開車庫門的。帶有滾動碼技術(通常稱之為“智能碼”，“Security+”，“跳轉碼”等等)的車庫會比那些使用固定pin碼的車庫更加的安全，但也有可能受到其他種類攻擊的影響。

主要的問題

查看OpenSesame攻擊的會話信息。固定碼系統中顯而易見的漏洞就是這種系統的密鑰空間是十分有限的。比如說，一個支持12位碼值的車庫可能會包含12位的可能組合。這是一個固定密碼能夠打開你的車庫大門的關鍵。既然它的二進制代碼的長度為12位，那么就存在有4096種可能的組合。

就暴力破解而言，破解網站中一個含有兩個字符的密碼要比破解12位長度的二進制車庫開關要難上兩倍或者更多。這是我們在OpenSesame攻擊的攻擊會話中發現的一個最基本的問題。

在常見的車庫和遙控器中，我們準備使用長度在8-12位之間的碼值進行研究，然后我們發現，一個遙控器發送了五次同樣的代碼，并且我們發現每一位數值的發送時間需要2毫秒，然后在所有數值發送完成之后，會有一個2毫秒的等待周期。所以，一個12位的密碼組合可能會需要(12位 * 2毫秒傳輸時間 * 2毫秒等待時間 * 5次 ＝ 240毫秒)。如果對所有的8，9，10，11和12位密鑰空間執行暴力破解，那么情況就會是下面這樣：

(((2 ** 12)*12) + ((2 ** 11)*11) + ((2 ** 10)*10) + ((2 ** 9)*9) + ((2 ** 8)*8)) = 88576位

88576位* 4毫秒 * 5傳輸時間 = 1771.52秒 = 29分鐘

所以，打開一個8-12位密碼的車庫大門會需要29分鐘(假設你已經知道了遙控的頻率和波特率，這兩個參數都是很常見的)。如果你已經嘗試了幾種不同的頻率和波特率，那么你所需要的時間可能會是很多個29分鐘。

雖然這算不上很糟糕，但我們可以做得更好。

初始還原

我們在還原操作中最先嘗試的就是移除轉發機制。代碼我們只傳輸一次，而不是同原先一樣每次傳輸都要發送5次信號。傳輸多次數值信號能夠幫助遙控器檢測信號，防止干擾。

1771.52秒 / 5 = 354.304秒 = ~6分鐘

干的漂亮！

現在，當我們在對車庫進行暴力破解測試時，我與某人進行了交談，Mike Ryan建議我將代碼傳輸期間的等待周期移除掉，然后看看我是否還能夠連續傳輸每一個代碼。

這樣是可以實現的，而且將傳輸所有代碼所耗的時間縮短了將近50%！這簡直難以置信。

1771.52秒 / 5 / 2 = 177.152 秒 = ~3 分鐘

雖然這算不上很糟糕，但我們可以做得更好。

OpenSesame攻擊

當我們查看我們所發送的數據之后，我們現在將發送連續的比特流。例如：

• (code #1) 000000000000

• (code #2) 000000000001

• (code #3) 000000000010

• (code #4) 000000000011 等等, 外觀看起來如下：000000000000000000000001000000000010000000000011

硬件

Im-ME

Mattel公司的IM-ME工具已經停產了，但還是可以在亞馬遜或者eBay網站上購買到，價格從12$到100$不等。

這種工具最初是用于好友間通訊的。它使用了CC1110,一種sub-GHz RF SoC，以及LCD顯示器，背光照明設備以及電源裝置等等，這些對于黑客來說都是極其有用的，他們可以用這個設備來向他們的好友發送信息，或者攻擊他們的好友。

現在，我們便可以制作我們自己的設備了，但令人欣慰的是，這些所有我們所需要的東西已經全部打包好了。

GoodFET

我使用了Travis Goodspeed的GoodFET設備來為IM-ME進行編程。

GIMME

軟件

OpenSesame

OpenSesame完整的源代碼可以從我的github上獲取得到：

https://github.com/samyk/opensesame

這個工程完全基于Michael Ossmann的opensesame項目，該項目上專用于破解車庫的固定碼的，而且它是OOK/ASK傳輸器的一個很好的樣板。同樣的，這個名字是如此漂亮，以至于我不得不使用它，我希望Mike不要介意。

goodfet.cc

正如我在硬件篇中所說的，我們使用GoodFET來加載代碼，然后使用goodfet.cc來加載Chipcon設備。

頻率，調制，解碼器

頻率

目前，我們的假設是，這些固定pin碼的車庫和大門的頻率范圍跨度很寬。例如，根據維基百科的描述，這種無線設備的頻率為300MHz至400MHz，這就要求我們發送100個額外的相同頻率信號。然而，經過研究，我們發現只有下列這些頻率是設備主要使用的：300MHz, 310MHz, 315MHz, 318MHz和390MHz。

調制

你可以發現，實際上所有的這些傳輸器都使用了ASK/OOK來傳輸數據。除此之外，很多信號接收器都支持使用OOK信號。這些可以通過對幾款車庫門的控制器進行測試而得到證實。

編碼器

下面是一個名單列表，名單中列出了在此類系統中使用的最多的編碼器名稱：

?PT2262, PT2264, SC2260, CS5211, PT2282, PT2240, eV1527, RT1527, FP527, HS527, SCL1527, MC145026, AX5326, VD5026, SMC926, SMC918, PLC168, HCS300, HCS301, HCS201

資源

下面列出了一些可用資源和工具，我所學習到的東西大多數都是從下面這些資源中得到的，我相信你也可以從中學到很多東西。建議閱讀或使用的工具如下：

• 我在RF中的其他項目:?KeySweeper?(2.4GHz) 和?Digital Ding Dong Ditch?(sub-GHz)

• Michael Ossmann的IM-ME頻譜分析儀

• Travis Goodspeed的?goodfet.cc/IM-ME線路

• Mike Ryan的?思想

• Michael Ossmann的?RF攻擊

• Osmocom的?RTL-SDR

• atlas 0f d00m的?rfcat for IM-ME

• Michael Ossmann的cc11xx 工具

• Dave的?IM-ME LCD 攻擊

• Andrew Nohawk的遠程攻擊固定密鑰

• Adam Laurie的You can ring my bell

• Vegard Haugland的遠程攻擊車庫控制器

• TI的CC111x數據表

• Sdcc的?8051微控制器的編譯器使用指南

聯系我們

點擊聯系：@SamyKamkar

你可以在http://samy.pl中查看我更多的項目和工程，或者通過code@samy.pl與我聯系。

謝謝大家！

?

本文轉自 K1two2 博客園博客，原文鏈接：http://www.cnblogs.com/k1two2/p/4555503.html??，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的OpenSesame:一个能够攻击fixed-pin设备的工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。