声明一：本文所有实验均在封闭条件下进行，未影响其他用户正常使用。本文包含的技术仅供学习交流，切勿违法使用。

声明二：本文首发于CSDN车联网安全杂货铺，可惜审核没通过。

遥控车钥匙的安全问题是车辆安全研究领域一个经典的话题，因此网络上也流传着很多通过重放、中继等方式解锁用户车辆的视频，其中的每个视频都给人十分震撼的感受，毕竟通过技术手段悄无声息地解锁甚至成功开走他人车辆看起来实在太酷了。我相信很多人都在网络上看到过类似的视频，但可能基本都不太了解背后的原理。本文打算从一种不太“优雅”的攻击方式开始，向读者介绍车钥匙的安全原理。

之所以说这种攻击方式不太“优雅”，是因为我们的攻击需要接触车钥匙，即攻击成功的前提条件是我们能够拿到某人的车钥匙，并车钥匙的信号进行录制：

录制工具还是我们之前使用过的HackRF One，PC端工具有多种选择，可以直接使用命令行的方式，但命令行的方式不太方便对录制的信号进行分析，最好使用带有分析功能的工具，推荐URH或者GNU Radio Companion。

使用URH录制信号示例：

 使用GNU Radio Companion录制信号：

在录制车钥匙的信号之前我们需要首先搞清楚车钥匙的工作频率，因为无线通信设备通过确定的频率（范围）来收发信号。确认频率的方式也有很多种，一种有效的方式是通过钥匙的fcc编码在fcc.io网站上查询，我们首先在车钥匙上找到fcc编码：

 根据fcc查询到的频率为433.92 MHz：

 另外，fcc网站上还提供了同款钥匙芯片的更多信息，比如信号调制方式为FSK：

芯片PCB板的实物图片：

第二种确认钥匙芯片工作频率的方式是通过频谱分析工具进行确认，如通过GQRX SDR进行分析（如下图）。将频率从0开始逐渐向上滚动，同时不断地按钥匙上的解锁按钮，直到出现下图双频点的效果，此时的频率即为钥匙的工作频率。

另外还可以通过搜索引擎来确定钥匙芯片的工作频率，因为网络上有不少商家出售同款芯片钥匙，他们会在商品的详情页列出钥匙的工作信息，如下图所示：

 通过简单的搜集，我们能够获取到的相关信息如下表格所示：

FCCID

CWTWB1G767

Frequency

433 Mhz

Weight

0.06 KG

Button

3 button

Chip

PCF7961M

IC

1788D-FWB1G767

Compatible Part Numbers

TWB1G767

BATTERY SIZE

CR2032

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！