對 Chamberlain MyQ 車庫門智慧開關的安全性分析

智慧硬體的發展使得可以遠端控制車庫門並確認在家中物品的安全，這些IOT裝置中許多提供的便利性通常使消費者不再考慮可能的安全問題。

McAfee Advanced Threat Research最近調查了Chamberlain的MyQ Hub，這是一款通用車庫門自動化平臺。Chamberlain使該裝置通用的方式是通過集線器，該集線器充當新的車庫門啟動器，類似於在車上安裝的那種。這使MyQ Hub可以與各種車庫門一起使用。

我發現Chamberlain在保護該裝置方面做得相當不錯，奇熱這在物聯網裝置中通常很少見。但是，我發現MyQ Hub在射頻上與遠端感測器通訊的方式存在缺陷。

從攻擊角度來看，我開始關注三個主要媒介：本地網路，遠端訪問（API或第三方整合）以及感測器和集線器之間的RF通訊。我嘗試的第一件事是通過本地網路訪問裝置。對裝置進行快速埠掃描後，發現它正在偵聽埠80。嘗試在埠80上導航到該裝置時，它將重定向到start.html並返回404錯誤，裝置上沒有開啟其他埠。

ChamberlainMyQ Hub的內部

拆解集線器後，發現一個用於處理Wi-Fi和Web通訊的小型SOC（片上系統）模組和一個用於控制車庫門和遠端門感測器的射頻側的輔助PIC微控制器。FCC網站上列出的MyQ Hub 還包括一個藍芽模組，該藍芽模組在我購買的兩個MyQ Hub中不存在。

UART連線已斷開或未啟用，但JTAG連線可以直接與主Wi-Fi模組通訊。通過JTAG連線，我可以轉儲快閃記憶體晶片的全部內容，並不受限制地除錯系統。Wi-Fi的主要模組是執行RTOS（實時作業系統）的Marvell微控制器，其功能與普通Linux系統有很大不同。儘管它仍將執行預定義的應用程式，但RTOS通常沒有像傳統系統那樣的檔案系統。我提取了Marvell微處理器的全部內容，並能夠分析程式集並確定Web伺服器的行為。

通過瀏覽Web伺服器程式碼，我能夠通過本地API識別裝置的設定方式，並找到一些有趣的，儘管不是很有用的命令。

本地API命令

我發現可以訪問的URL數量很多，還有一些其他API路徑，但是無法發起攻擊，我決定研究其他攻擊媒介。

我沒有花太多時間研究第三方攻擊媒介和遠端API，因為它已成為研究的一個灰色領域。在使用/ sys / mode API呼叫進行測試時，我能夠將裝置設定為軟出廠重置，在此我可以嘗試將裝置新增到其他帳戶。通過捕獲移動應用程式上的SSL流量，我可以看到它失敗了，因為序列號已被註冊到另一個帳戶。我使用一種稱為SSL解鎖的技術來解密來自Android應用程式的流量；我將在以後的部落格中釋出更詳細的說明此過程的資訊。我想要嘗試的一件事是修改Android應用程式以傳送其他序列號。由於我認為該裝置從未清除過原始的車庫門資訊，可能已經從新帳戶開啟了裝置。但是，所有這些都是推測，並且未經測試，因為我不想訪問遠端API。

我檢視的最後一個向量是RF。我開始嘗試打破遠端門感測器和集線器之間的頻率調製。我最初認為這是某種FSK（頻移鍵控），其中資料以數字方式傳輸。如果訊號處於一種頻率，則對應的位為0，如果訊號顯示於另一頻率，則該位為1。由於MyQ遠端感測器使用的是3個不同的頻率，而不僅僅是兩個，因此這一想法被放棄了。

檢視門感測器的FCC歸檔檔案時，我注意到他們進行了特別有用的修改。

OOK代表“ On OFF Keying”，是將數字位編碼為RF的另一種方法。OOK將傳送訊號（1）或不傳送訊號（0）。這意味著傳送器和接收器都必須同步。

開關鍵控圖形表示

這是從MyQ遠端門感測器捕獲的訊號的二進位制表示形式，這是整個訊號的緊密放大視窗。

捕獲一條完整的訊息，每種顏色的頻率不同。

aaaaaaaa559999aa59655659a6965aa9a99996aa6aa 0aaaaaaaa55a9699a6566696699555a6a55569665555 00aaaaaaaa559999aa59655659a6965aa9a99996aa6aa

我可以觀察到從所有三個頻率捕獲的狀態傳輸並轉換為十六進位制。如上面的彩色所示，很容易識別傳輸中的資料模式，但是我始終無法破解它來從我的SDR（軟體定義無線電）中任意傳輸錯誤狀態。還注意到，Chamberlain的RF工程師不僅將訊號分為三個獨立的頻率，而且還通過實施滾動程式碼來提升安全性。如果對諸如標準車庫門開啟器或汽車鑰匙扣之類的滾動編碼技術很熟悉，滾動碼裝置可防止攻擊者直接捕獲並重放訊號。

攻擊者克服滾動碼裝置的方式是通過一種稱為“ 滾動卡紙 ”的方法。攻擊者將阻塞來自傳送器的滾動碼訊號，阻止其一直傳到接收器，同時捕獲有效的滾動碼並儲存它。 這樣，攻擊者現在擁有了接收者從未見過的未使用和有效的滾動程式碼。這種方法的問題是，通常受害者會注意到車庫門或汽車沒有解鎖。Roll Jam的一種更隱祕的方法是始終捕獲最新程式碼並重放最新訊號減1。這樣，汽車或車門將開啟，但攻擊者仍擁有最新程式碼以供使用。

MyQ還具有滾動程式碼實現，我可以針對該程式碼開發一種變體。我採用了通過直接在有效訊號頻率附近傳送大量“噪聲”來干擾接收器原始程式碼的方法。這會導致MyQ集線器中的接收器過載，並且聽不到有效訊號。但是，憑藉SDR的精度，我能夠忽略正在傳輸和儲存訊號的噪聲。由於我必須同時收聽和阻塞三個頻率，這使情況更加複雜。

在此部落格中描述的與Chamberlain車庫門樞紐相關的研究中，唯一的干擾是在車庫門樞紐傳輸狀態訊號時的最短時間內對未許可頻譜無線電頻率進行了干擾。

該技術有效，但是由於遠端感測器和MyQ Hub始終在RF領域具有優勢，因此不可靠。攻擊的干擾性很好，但是，由於我在車庫外面，並且遙感器和集線器都位於同一個車庫內，因此很難以車庫門和牆壁作為障礙物同時堵塞和收聽。藉助功率更高的無線電，頻率調諧的天線以及FCC法規，遠端感測器的干擾可能發生的距離比我在實驗室環境中能夠測試的距離還要遠。

遙感器訊號（紅色）和干擾（黑色）的檢視

通過可靠的干擾工作，我確認當使用者通過MyQ應用程式關閉車庫門時，遠端感測器永遠不會響應關閉的訊號，因為我正在干擾它。該應用程式將警告使用者“發生錯誤，請再試一次。在這裡，普通使用者即使不直接看到車庫門，也會認為他們的車庫門確實是開啟的，而實際上卻是安全關閉的。如果使用者相信MyQ應用程式，那麼他們將按照應用程式指示進行操作並“重試” ，這就是車庫門無狀態性發揮作用的地方。MyQ集線器將開啟/關閉訊號傳送到車庫門，並且它將開啟，因為它已經關閉，並且只是在改變狀態。這使攻擊者可以直接進入車庫，在許多情況下可以進入住宅。

由於現在車庫門確實是開啟的，攻擊者可能不想讓狀態保持原樣，通知受害者再次出了問題。將車庫門置於關閉狀態並允許應用清除錯誤將使受害者放心。這可以通過重放先前捕獲到的關閉訊號來執行，或者以最簡單的方式從車庫門上搭扣上卸下遙感器並將其放置在垂直位置，向集線器發出門已關閉的訊號成功。

攻擊複製狀態流程圖

我還意識到，在現實世界中，攻擊者不可能整日坐在車庫外面，因此我決定自動進行攻擊。我使用GNU無線電實現JIT（及時）干擾方法，使SDR在MyQ的三個獨立頻率上處於休眠狀態。一旦發現遠端門感測器開始傳輸，它將動態啟用並開始干擾訊號。

GNU Radio JIT的3種同時頻率干擾和狀態捕獲

通過建立一個可以放在車庫門附近看不見的小型裝置，擴充套件了此類攻擊的用例，我的FHSS白皮書中也對此技術進行了更詳細的描述。JIT干擾使使用RF三角測量很難定位裝置，並使其具有更好的操作能力。

雖然這對於使用MyQ Hub的個人來說可能不太常見，但請回想一下之前提到的與MyQ進行車庫交付的第三方合作伙伴關係。另一種可能的攻擊是交付驅動程式使用該應用程式時。使用者註冊此服務的主要原因是將包裹遞送到安全位置（車庫），即使他們不在家中也是如此。如果送貨司機使用MyQ集線器進行車庫內送貨，則受害者可能會不在場，但可以通過Internet上的MyQ應用程式訪問以開啟或關閉車庫門。黑客可能會發動這種攻擊，受害者可能更有可能相信這扇門實際上是開啟的。我已在2019年9月25日向Chamberlain完整披露了我的發現，包括干擾攻擊的詳細複製步驟。我還與第三方交付驅動程式就此問題與Chamberlain進行了交談，以及如何將其納入此攻擊模型。在對該問題進行了廣泛的測試和確認之後，供應商釋出了myQ App的更新，版本為4.145.1.36946。此更新向使用者提供了有價值的警告訊息，指示車庫門狀態可能不準確，但並不能消除使用者遠端控制門本身的麻煩。

物聯網裝置的妙處在於它們解決了我已經學會處理的問題。在我體驗了這些裝置的便利性和自動化，保護或幫助我生活的方式之後，很難看到它們消失了。這種輕鬆和自動化通常掩蓋了它們可能帶來的潛在安全威脅。甚至隨著時間的推移對手動產品進行簡單的增強也會產生這種效果。例如，汽車中的舊版車庫門開啟器，捕獲和重放基本訊號的能力將威脅從物理空間轉變為數字空間。儘管ChamberlainMyQ Hub最終提供了一種比其前任產品更為安全的訪問車庫的方法，但消費者應注意，技術平臺的任何擴充套件，例如使用WiFi，移動應用和FHSS RF傳輸，也會擴充套件可能的威脅向量。

最後，我要指出，基於攻擊和安裝足跡的複雜性，對該目標進行實際攻擊的可能性很小。我已經與Chamberlain（Chamberlain）討論了這一點，Chamberlain（Bamberlain）驗證了發現並同意這一評估。Chamberlain已經做出了明確的努力來構建安全的產品。