一、电动车遥控启动种类
国内电动车品牌众多,如爱玛、台铃、雅迪、绿源、新日、立马、小刀、小牛等。根据我的了解,市面上常见的电动车遥控启动方式大致可分为三类。
- 老式电动车:仅支持传统机械钥匙启动。
- 主流电动车:同时支持机械钥匙和射频遥控(微波)启动。
- 部分车型采用双路控制且互不干扰的设计逻辑:
- 机械钥匙启动/关闭时,射频遥控无法介入。
- 射频遥控启动/锁车时,机械钥匙无法介入。
- 机械钥匙可以锁定电动车龙头,在此模式下,射频遥控同样无法介入。
二、认知误区与原理分析
我曾误以为现代电动车是通过蓝牙模块进行近场通信来完成数据交互的。但在拆解遥控器后,发现其核心是 Sub-GHz 射频芯片。
拆解两类电动车遥控器后不难发现,其核心芯片编码方式主要分为两类:固定码和滚动码。
小时候给电视机配的“万能遥控器”,通过红外信号模拟复制,利用的就是固定码原理。部分电动车车型也采用固定码,这意味着可以通过射频设备直接录制并重放信号来实现车辆解锁。
- 常见固定码芯片型号:2240, 2241, 2248, 2260, 2262, 264, 527, 1527, 1528, 5326, 2450A, 2150L, HT600
- 常见滚动码芯片型号:HCS101, HCS200, HCS301 等。滚动码无法通过简单的信号复制进行重放攻击。
晶振即为上图2中最右侧的黑色模块,它决定了射频信号的发射频率,如 315MHz、433MHz 等,录制与发射时必须频率对应。根据上图可知,芯片型号旁标注的 “B01” 通常对应 433MHz 频率。
- 智能电动车:随着技术发展,出现了支持无钥匙启动、APP控制等功能的智能车型,如9号电动车等(但因设备昂贵,暂未纳入本次实验范围)。
三、实验准备
所需物料清单:
- 一辆主流品牌的近年产电动车。
- 一个 Flipper Zero 设备(也可用其他类似射频工具替代)。
- 该电动车的原装射频遥控钥匙。
- 拆解钥匙的工具(轻薄顺手即可)。
- 高流明手电筒(芯片上的丝印字非常小)。
- 具备微距拍摄功能的手机。
注:第4-6项并非必需,若使用 Flipper Zero 的扫描功能,可直接读取频率等信息。
四、验证步骤
- 根据 Flipper Zero 官方文档,本次实验需要使用其 Sub-GHz 模块。
- 目标:截取遥控钥匙上的解锁按钮信号。
- 打开 Flipper Zero 设备,在主菜单选择
Apps -> Sub-GHz。
- 在
Sub-GHz 菜单中,选择 Read。在读取前,可根据遥控器晶振频率(如433MHz)手动设置对应频率,以提高捕捉成功率。
- 按下电动车遥控器的解锁键,让 Flipper Zero 捕获信号。
- 捕获到信号后,按设备上的保存键,可以将信号命名保存(例如命名为“Unlock”)。
- 信号保存成功后,返回
Sub-GHz 主菜单,选择 Saved,找到刚才保存的“Unlock”信号文件。
- 在信号文件的操作菜单中,选择第一项
Emulate(模拟)。
- 按下 Flipper Zero 的确认键,开始发送模拟的解锁信号。
- 观察电动车,验证其是否成功解锁。实验证明,针对采用固定码的遥控器,信号重放攻击 验证成功。
五、视频演示
(视频加载组件已移除,此处原为动态演示过程)
六、参考
技术探讨:本次实验仅针对采用固定码编码的遥控器,揭示了其在无线安全方面存在的潜在风险。对于更常见的滚动码系统,则需要更复杂的逆向工程与分析手段。在云栈社区中,我们鼓励在合法授权的前提下进行安全技术研究,共同提升对物联网硬件安全的认知。
| 
发表于 昨天 22:50
|
查看: 3|
回复: 0
