Константин Сорокин за один присест «угнал» несколько автомобилей Infiniti, Nissan, Toyota и Lexus
Фото:
Евгений Ерохин | Константин Сорокин
Стоящая у тротуара машина опознала меня за пару шагов. Включила подсветку салона, раскрыла лопухи зеркал и отреагировала на протянутую руку характерным щелчком центрального замка. Я завожу двигатель, трогаюсь — и замечаю на дисплее предупреждающую надпись: «Key not found». Все верно, ключа от этой машины у меня действительно нет. И не было. Зато есть электронное устройство, позволяющее открывать и заводить автомобили телепатическими методами — на расстоянии. Угонщики называют его Длинной рукой.
Вам уже доводилось поездить на автомобилях с «золотым ключиком»? Тем, который автоматически ставит машину на охрану, открывает двери и позволяет заводить двигатель кнопкой, не доставая брелок из кармана? Классная вещь! Система настолько умна, что теперь обычный ключ зажигания — что каменный топор. По отраслевой терминологии такие системы называются PKES (Passive Keyless Entry and Start — «пассивный бесключевой доступ и запуск двигателя»), а в упрощенном виде их работа выглядит так. Как только водитель подходит к автомобилю и нажимает кнопку на рукоятке двери (вместо нее может стоять тачпад или электронный створ, реагирующий на кисть руки), машина «просыпается» и начинает диалог с ключом:
— Привет, я автомобиль Х с электронным номером Y и кодом-идентификатором Z. А ты кто?
Слева «эмулятор», а справа — «считыватель». Внутри этих коробочек спрятаны приемники и передатчики на три диапазона (125 кГц, 433 МГц и 900 МГц), полосовые фильтры, усилители, процессоры и литий-полимерные батареи большой емкости. Коричневый кант, опоясывающий один из блоков, — это рамочная антенна. После включения питания блоки устанавливают между собой высокоскоростной канал передачи данных, который позволяет ретранслировать «ключевые» запросы автомобиля и удаленно принимать ответы метки. Создатели криминального радиоудлинителя хорошо разбираются в вопросах электромагнитной совместимости: при работе Длинной руки можно говорить по мобильному телефону или, наоборот, включать генераторы помех сотовой связи для блокировки GSM-трафика систем мониторинга
Этот посыл передается в эфир на «транспондерной» частоте 125 кГц, и если ключ-брелок находится рядом и понимает язык запроса, он тут же отвечает машине, используя уже свою рабочую частоту (у нас и в Европе это 433 МГц или 868 МГц). Причем отвечает хитрой цифровой комбинацией, сгенерированной по индивидуальному алгоритму шифрования:
— Привет, я твой ключ! Код ответа: X123.Y456.Z789.
Чтобы исключить электронные подтасовки (воспроизведение заранее записанных посылок, передачу кода по каналам сотовой связи или мобильного интернета), ответ от электронного ключа должен поступить в режиме реального времени (счет задержкам ведется на наносекунды), так что любые «аудиоспектакли» и попытки открыть машину «под фанеру» обречены на провал. Но...
О криминальной уязвимости PKES-систем заговорили в 2011 году, когда команда швейцарских программистов продемонстрировала метод «удлинения» канала связи «автомобиль-ключ». Технологию назвали Relay Station Attack. Забавно, что к тому времени российские угонщики уже вовсю пользовались такими устройствами (АР №8, 2011). А этим летом в мои руки попали сразу два радиоудлинителя.
Первый предназначен для угона «бесключевых» автомобилей Toyota и Lexus, выпущенных до 2013 года, а второй «удлиняет» системы доступа Intelligent Key автомобилей Nissan и Infiniti нынешнего поколения. Каждая Длинная рука состоит из двух блоков: «считывателя» и «эмулятора», — которые легко помещаются в небольшой плечевой сумке. После включения блоки устанавливают между собой высокоскоростной канал передачи данных, позволяющий ретранслировать «ключевые» запросы автомобиля и удаленно принимать ответы метки.
Зондирующие антенны на 125 кГц установлены по периметру кузова так, чтобы их диаграммы не перекрывались. Благодаря этому машина всегда знает, откуда отвечает ключ, и разрешает выполнение только «географически привязанных» команд. К примеру, двигатель запустится в том случае, если в радиообмене с ключом будет задействована антенна в спинке водительского сиденья, а багажник откроется лишь при успешном опросе ключа из заднего сектора
Машины своих знакомых я открывал так. Сначала ждал, пока законный хозяин припаркует автомобиль, выйдет, закроет дверь, оглядится... Теперь, держа в сумке заранее включенный «эмулятор», подхожу к водительской двери — и в тот момент, когда мой сообщник со «считывателем» приближается к владельцу машины (свои действия мы координируем по телефону, используя невинные словесные обороты), нажимаю кнопку на дверной ручке. Автомобиль выдает поисковый запрос, «эмулятор» принимает его, демодулирует, усиливает — и тут же передает по радиомосту сообщника. Его аппаратура производит обратные действия — и «опрашивает» ключ, находящийся в кармане владельца. Схватив ответную посылку, «удлинитель» тем же путем отправляет ее обратно — и через «эмулятор» ретранслирует машине. Тяну ручку — и дверь гостеприимно распахивается!
