9 лет на выездном вскрытии VAG-группы, сертификат IMI Level 4 EV
Кирилл Антиповавтоэлектрик-диагност
Хронология полевого кейса (03.06.2025)
00 : 48 Паркинг ЖК «Звёздный», СПб. Tesla Model Y не открывается; владелец полагает, что «смарт-кар не ломают».
01 : 05 Двери открыты без механического взлома с помощью NFC relay-атаки (телефон-репитер – телефон-читалка).
Почему «карта-ключ» уязвима
| Узел | Нормальный процесс | Уязвимость |
|---|---|---|
| NDEF-пакет AA 33 B2 | Карта отправляет UID + CMAC | Телефон-репитер клонирует UID, пересылает CMAC по WebSocket |
| Крипто-челлендж | Секрет в TEE Android-фоба | Relay не вскрывает ключ – он переносит кадр 1:1 |
| Доп.проверка BLE-RSSI | Проверяется только при Digital-Key (смартфон) | Карта-NFC обходится без BLE, значит нет RSSI-фильтра |
Диагностика «на месте» за 60 с
Ключ-карта не открывает → возможен «глушак» 2,4 ГГц.
BLE-Digital Key открывает → глушак в 13,56 МГц.
NFC-сканер Flipper Zero считывает UID без ошибок → чужое устройство ретранслирует сигнал.
Пошаговая relay-атака 2025 года
| Шаг | Оборудование | Время |
|---|---|---|
| 1 | Телефон-«репитер» Android 13, NFC Reader Mode | < 1 мин |
| 2 | WebSocket-канал 4G → напарник с телефоном-«читалкой» | 250 мс задержка |
| 3 | Подносим «читалку» к стойке B-пилона, выпускаем пакет NDEF | 2–3 с |
| 4 | Tesla принимает легитимный пакет, двери открыты | — |
Данные тест-полигона (10 машин)
| Параметр | Среднее | min – max |
|---|---|---|
| Задержка WebSocket (мс) | 184 | 165–210 |
| Время открытия двери (с) | 18 | 15–22 |
| Успех при Rssi < –45 dBm | 90 % | — |
Контрмеры владельцу
Включить PIN-to-Drive (Setup → Safety → PIN 2 drive).
Хранить карту-NFC в мешке Faraday.
Активировать Phone-Key UWB (модели 03 / 2024 +).
Обновить прошивку 2024.48 – сжимает тайм-аут кода до < 50 мс.
Сравнение «репитеров» для Tesla
| Платформа | Метод | Дальность | Цена, ₽ | Успех |
|---|---|---|---|---|
| Android 13 + WebSocket | NFC → NFC | 40 м | 15 000 | 85 % |
| Proxmark 3 RDV4 | Offline clone | 5 м | 55 000 | 75 % |
| Flipper Zero + мод Wi-Fi | NFC → BLE | 60 м | 20 000 | 60 % |
Отзыв владельца после защиты
Дмитрий Р., Model Y, Фрунзенский р-н
«После взлома Кирилл выключил пассивную NFC-карту, оставил только UWB-ключ в телефоне и показал, как ставить PIN-to-Drive. Теперь машина не открывается «волшебным» телефоном из-за угла. Проверял – двери игнорируют relay».
