Статья о пультах на шлагбаум, ворота Nice.
Брелки Найс надежные. Работают без проблем.
Выпускаются с 1,2 или 4 кнопками.
Соответственно называются: Flo1r-s, Flo2r-s, Flo4r-s.
Код переменный. Каждый раз другой. Не копируется.
Рабочая частота — 433,91 МГц.
Батарейка — P23ga (A23),12V.
Корпус — Пластмасса.
Как открыть корпус для замены батарейки.
Нажмите на ушко с торца.
Осторожно снимите крышку.
На фото фирменная батарея P23ga,12V.
Хватает на 2-3 года.
Если стоит другая, то брелок давно в работе.
Брелки Флор-с могут выпускаться в другом корпусе.
Модели Nice Era Flor: Flo1re Flo2re Flo4re. На 1-2-4 кнопки.
Работают и настраиваются, как Flor-s.
В автоматике Найс есть такая функция.
С разрешения рабочего пульта в приемник прописывается новый.
Находиться надо рядом с блоком управления.
При выполнении п.2, привод не должен реагировать, начинать движение.
Если началось открытие/закрытие, то начинайте сначала.
Не торопитесь.
Выдерживайте временные интервалы.
1. Нажать кнопочку нового брелока на 6 секунд.
2. Нажмите кнопку прописанного брелка 3 раза.
3. Нажать кнопочку нового на 2 сек.
Пауза секунд 5. Все. Испытывайте.
Посмотрите ролик. Полезно для понимания.
Введение.
Пульты от ворот или шлагбаума — это дополнительная забота.
Постоянно есть потребность сделать еще один: родным, близким, да и просто себе запасной.
Один из вариантов решения вопроса дан в этой статье.
Описание пульта Nice Flo.
Код постоянный. Частота 433,92 МГц.
Устаревшая модель. Редко используется. Цена высокая.
Классический.
Покупаете новый оригинальный брелок Nice Flo.
Снимаете крышку корпуса, надавив на ушко.
Выставляете положение переключателей как на действующем брелке.
На этом настройка заканчивается.
Копирование пульта Nice Flo.
Оригиналы сейчас очень дороги.
С другой стороны статический код легко копируется на простые дубликаторы из Китая.
Корпуса могут быть разные. Важно какая прошивка.
Главное чтобы дубликатор копировал постоянный код на частоте 433,92 МГц.
Обучающее видео по настройке и копированию пульта Nice Flo.
Сделать новый дубликат Вы сможете самостоятельно, за минуту.
Дополнение.
Если у Вас пульт Nice Flors (без переключателей), как на фото снизу, то есть соответствующая статья по программированию.
Flor-s с динамическим кодом.
Это другой брелок. Не перепутайте. Корпуса похожие.
Кодировка NICE FLOR-S
Одна из самых распространенных кодировок – встречается на форуме в таких изделиях как ИМИТАТОР от CodePerfect на железе Олега, МЕГА-АНАЛИЗАТОР от RUSSO_TURISTO, в прошивке Joker для железа Олега, в прошивках для ZX940.
В большинстве изделий представляет собой или случайный выброс шифрованной части (hop) (имитацию) сигнала или просто определение типа кодировки.
Вопрос – возможно ли воспроизвести сигнал открытия автоматике nice flor-s обычными средствами – т.е. без обращения к китайцам для распила проца чтобы узнать хитрый алгоритм?
Посмотрев различные ветки форума было выяснено что якобы пользователь Dolero производил анализ безопасности nice — у него была прошивка и он сделал некие выводы — всё элементарно. также было выяснено что он считал eeprom приёмника и именно из этого сделал такие заключения. Прошивку он прочитал из проца моторола, так самые первые flors были на процах motorola и пина защиты там нет. Бери программатор и читай, однако всё оказалось непросто.
Физические параметры сигнала nice flor-s
Преамбула 1500 HI 1500 LOW
Логический 0 – 500 HI 1000 LOW
Логическая 1 – 1000 HI 500 LOW
Важным моментом данной кодировки является соблюдение правильных пауз между динамическими сериями сигнала – пауза 18500 мкс
Не посмотрев правильно сколько длится пауза я долго не понимал почему сигнал везде правильный а приёмник или сбивается или вообще его не воспринимает.
Логические параметры сигнала nice flor-s
Данные по кнопкам были найдены на форуме у CodePerfect
“Кодирование кнопок.
Первый полубайт — собственно номер кнопки, задается одним битом:
0001 — 1 кнопка
0010 — 2 кнопка
0100 — 3 кнопка
1000 — 4 кнопка
Второй полубайт формируется из XOR XOR .
Для первой кнопки второй полубайт будет:
XOR = F
XOR = C
XOR = D
XOR = A
XOR = B
XOR = 8
и т.д.
Для второй кнопки второй полубайт будет:
XOR = C
XOR = F
XOR = E
XOR = 9
XOR = 8
XOR = B
и т.д.”
Могу добавить, что второй полубайт — время удержания кнопки и если необходимо в автоматику передавать длинное нажатие кнопки – необходимо увеличивать время циклического изменения второго полубайта (в примере это указано)
Счетчик –шифрованная нелинейная последовательность
Серийный номер – линейно зависим от значения счётчика 2 полубайта
Логический анализ после приёма сигнала:
Принцип линейной зависимости серийного номера
В EEPROM счетчик расшифрован
Для каждого уникального значения шифрованного счётчика — 2 байта существует ещё 1 байт линейного шифрования серийного номера.
Метод построения оригинальной посылки
B1, B2 – коэффициенты зависимости (свои для каждого значения счётчика)
Нелинейная последовательность шифрованного счётчика строится по какому-то принципу – скорее всего принцип логических правил и табличного компадирования (замещения байтов по правилам через таблицы).
Шифрование обратимое, иначе нельзя было бы расшифровать значение счётчика по оригинальной посылке.
Возможно … возможно таблицу реально составить используя полные статистические данные, но мы пойдём ДРУГИМ путём !
Атака типа “DROP COUNTER”
Мы не будем пытаться расшифровывать принцип построения нелинейной последовательности, а обратимся к старому доброму предмету ТВИМС.
(теория вероятностей и мат. статистика)
Сколько значений счётчика? — 2 байта
Сколько всего вариантов? — 16 в 4 степени = 65536 вариантов
Прописываем брелок Flor-S в приёмник и узнаём из EEPROM оригинальный серийный номер (если при каждом приёме сигнала делать операцию XOR на оригинальный серийный номер мы получим правильные коэффициенты линейной зависимости для каждого значения счетчика)
При помощи устройства получаем все возможные значения счётчика и коэффициентов зависимости.
ABCD – значение счетчика, EF – линейная зависимость
Теперь через таблицу возможно вычислять правильные шифрованные значения счётчика, формировать оригинальные посылки через XOR оригинального серийного номера и полученных коэффициентов, однако есть ещё 1 вариант.
Было исследовано 2 приёмника SMXI и FLOXI2R (съёмный EEPROM)
На этих приёмниках это работало.
У роллинг кода flor-s на этих приёмниках не было окна синхронизации,
Возможно вообще у этого кода окна нет, утверждать не буду.
Получается это не баг, а особенность роллинг протокола:
Любая посылка конечной серии F0FF всегда валидна.
+ с серии F0FF счетчик может переходить на серию 0000
Для имитации брелока возможно закольцевать всего 2 посылки
Серии 0000 и серии F0FF
Из-за вычислений внутри приёмника регистры после нового приема сигнала не очищаются и приёмник лагает – 2 посылки воспринимаются через раз.
Для успешной имитации необходимо 8 посылок
4 серий 0000 + 4 серий F0FF
АТАКА
- серийный номер линейно зависим от значения счетчика c коэффициентами B1B2
- в полученной шифрованной посылке тоже скрыт серийный номер, и он также линейно зависим с коэффициентами P1P2
- получаем что в посылке конечной серии счетчика F0FF серийный номер скрыт за линейной зависимостью E1 = B1 XOR P1
А что если перебрать все 256 комбинаций E1E2 на серии F0FF ?
ВАЖНОЕ ДОПОЛНЕНИЕ:
брелок оригинал перейдёт в состояние “DROP COUNTER” – не будет работать
из старых приёмников nice без программатора выписать брелок нельзя, можно только полностью стереть eeprom и всё прописать заново.
не все умеют цепляться прищепкой к eeprom, хотя у некоторых приёмников eeprom снимается.
на SMXI приёмнике нужна прищепка — просто к eeprom не подключишься.
На старой автоматике обычно нерабочий брелок заменяют на новый с доплатой, чтоб всё не прописывать заново.
Иногда используется станция NiceOBOX. В нее вставляется eeprom из приёмника для возможности быстро прописать большое количество брелоков.
Станция не у всех есть.
Не зная оригинальный правильный серийный номер брелока, но имея 1 правильную посылку есть возможность написать закольцованный имитатор посылок. работать будет (отправляя по 256 вариантов серийного номера каждый раз).
В примере скетч имитации брелока nice flor-s – 8 закольцованных посылок
Выводы – Nice flor-s уязвимый к атакам устаревший протокол.
протокол нельзя взломать перехватом кода, но можно имея приёмник и пульт.
