第一作者简介:叶方坚,男,浙江温州人,硕士,副高级警务技术任职资格,研究方向为痕迹检验。E-mail: 532225986@qq.com
目的 研究特斯拉线圈开启智能门锁前后,锁内芯片电子数据变化情况,提出现场勘查和检验鉴定工作建议。方法 将一款智能门锁进行拆解,研究其指纹和密码的存储芯片(微处理器〔MCU〕和电子抹除式可复写只读存储器〔EEPROM〕)及存储方式,反复演示特斯拉线圈开锁过程,分别读取干扰前后芯片内的数据,并比较数据变化情况。研究智能门锁硬件电路的通信方式,使用随机波形发生器模拟不同通信方式受干扰的情况,记录并比较特斯拉线圈开锁前后硬件电路通信方式变化、寻找受特斯拉线圈干扰的通信方式,研究特斯拉线圈开启智能门锁的机制。结果 智能门锁的指纹和密码数据存储在EEPROM上,其中密码以明文形式存储,特斯拉线圈干扰开锁后指纹和密码数据被全部擦除。智能门锁的键盘和MCU之间采用中断信号线(IRQ线)、控制线(SCL)、数据线(SDA)三种通信方式进行通信;特斯拉线圈干扰时通信信号发生变化,由于信号变化使IRQ中断程序未能完成,程序紊乱,致EEPROM上的指纹和密码数据被全部抹除,智能门锁被打开。结论 特斯拉线圈对智能门锁通信信号产生干扰,造成EEPROM上的密码和指纹存储数据全部被擦除,门锁自动打开。在实际案件中,能够通过检验智能门锁EEPROM上存储数据变化情况,推测是否被特斯拉线圈开启过。
Objective To scrutinize the electronic data changing with its related smart lock which to unlock through Tesla coil so that the key points of crime scene investigation and suggestions are thereby to put forward.Methods A smart lock was disassembled to explore its both fingerprint/password storage chip (MCU: micro control unit or EEPROM: electrically-erasable programmable read-only memory) and mode, consequently having undergone repeatedly to unlock with a Tesla coil such that the data in the lock’s chip were recorded for comparison before and after the unlocking. The hardware-circuit communication of the lock was examined to ascertain which communication mode had been interfered with the Tesla coil. An arbitrary waveform generator was adopted to simulate the interfered communication mode from which the resulting changes were recorded and compared against those caused through Tesla coil disturbing. Consequently, the reason why Tesla coil can unlock the smart lock was to discover.Results The fingerprint and password are found of being stored in EEPROM of the selected smart lock, with the password being kept in the storage mode of plaintext. There are three communication modes of IRQ (interrupt request line), SCL (system clock line) and SDA (static data authentication) between the smart lock’s panel board and MCU. When a Tesla coil opens the smart lock, the communication signal has changed, causing the IRQ program unable to get through and/or being disordered so that all the stored data of password and fingerprint have been completely erased from EEPROM, leaving the door open.Conclusions Tesla coil can interfere the communication signals of smart lock, resulting in the lock’s stored data of password and fingerprint being completely erased from EEPROM and the lock being opened automatically. For crime scene investigation, whether a smart lock has been opened with Tesla coil can be inferred through checking if there is occurrence to changing with the data stored in EEPROM of the lock.
伴随着智能家居、智能安防技术的不断发展, 智能门锁以无需携带钥匙、更高级别的安防监控、场景联动等特色功能和优势, 得到了快速发展, 2019年全年我国智能门锁销售量约1400万套[1]。智能门锁普及率提高的同时, 安全性也越来越受到更多人的关注。在2018年5月份的浙江永康国际门业博览会上, 有人利用“ 小黑盒(特斯拉线圈)” 作为开锁工具, 接连攻陷多个品牌的智能门锁, 当时在锁业领域引起了恐慌, 在社会上引起强烈反响。之后有段时间网络上有人大量兜售这种“ 小黑盒” , 并流传转载“ 小黑盒” 开锁的方法和视频。尽管现在已很难买到“ 小黑盒” , 但已有部分产品和开锁视频流入市场。同年, 我国某地发生非法开启智能门锁系列盗窃中高档小区的案件, 损失高达几十万元[2]。因此, 公安机关需要对智能门锁和“ 小黑盒” 开锁原理及痕迹深入研究, 在现场勘查和检验鉴定中确定是否为“ 小黑盒” 开锁, 力争及时破案, 维护社会治安稳定, 挽回人民群众的财产损失。
某品牌半自动智能门锁一款、“ 小黑盒” 一个、ARM仿真编程器、SEGGER J-Flash软件、深圳拓普瑞电子有限公司生产的型号为UT2042B数字存储示波器、采用CPLD设备搭建一个随机波形发生器。
上面提到的“ 小黑盒” 实际上就是一个特斯拉线圈(见图1), 也叫作串联谐振变换器, 原理是缠绕一段初级线圈和次级线圈, 根据相关电路图与三极管、电阻、电容等元器件连接, 配合电池供电, 使普通电压升压, 然后经由两级线圈, 产生高频率、高强度的电磁脉冲, 干扰智能门锁内部的电路和主要芯片等, 导致智能门锁重启或死机, 达到开锁目[3, 4, 5, 6]。
1)对智能门锁进行外观检验, 查看外观形态是否完好, 是否具备正常的开锁和闭锁功能。2)打开智能门锁, 对内部电路结构部件进行研究, 读取各部件型号和功能情况。3)聘请第三方公司用专用设备对加密的芯片进行解密, 用ARM仿真编程器和SEGGER J-Flash软件读取微处理器(microcontroller unit, MCU)程序代码, 之后用该设备将程序代码写入一颗新MCU中, 分别读取出厂后、正常工作时和特斯拉线圈干扰开锁后锁内芯片数据, 并进行比较, 寻找受特斯拉线圈干扰的锁内部件及芯片。4)在智能门锁正常情况下, 用型号为UT2042B的数字存储示波器, 在采样频率为100 μ s、1 V/格的信号下, 测量MPR121芯片与MCU之间通信信号, 读取智能门锁正常工作时和特斯拉线圈干扰开锁后锁内芯片线路通信信号情况, 并进行比较。5)采用CPLD设备搭建一个随机波形发生器模拟干扰信号, 验证特斯拉线圈开启智能门锁原理, 确定特斯拉线圈在开启智能门锁时对哪根信号线的干扰起了作用。
2.1.1 外观检验
该智能门锁外观完好, 把手为执手式, 数字密码键盘为电容式触摸屏, 指纹采集仪为光学指纹头, 机械锁芯位于面板下方, 机械锁体, 在智能门锁的内面板上以4节5号电池作为供电能源, 为一把半自动智能门锁, 具备指纹、密码、刷卡开锁的功能, 在输入5次密码错误后, 自动报警。
2.1.2 电路结构部件检验
拆开该智能门锁后, 经检验发现, 线路板采用容量64 KB的STM32F100R8T6芯片作为微处理器, 采用容量为4 MB的带电可擦可编程只读存储器(electrically erasable programmable read only memory, EEPROM)25Q32芯片作为存储芯片, 数字键盘采用型号MPR121的芯片, 键盘MPR121芯片后面有中断信号线(IRQ线)、控制线(SCL)、数据线(SDA), 三根线分别和MCU相连。这些芯片内的程序代码采用加密的方式进行保护。
2.1.3 读取出厂后智能门锁的锁内芯片数据
把智能门锁恢复成出厂设置, 此时智能门锁没有指纹和密码, 读出EEPROM内指纹位置数据, 形成A文件; 读出EEPROM内密码位置数据, 形成a文件, 见图2。
2.1.4 读取智能门锁正常工作时锁内芯片数据
先设置为管理员的指纹, 读出EEPROM内指纹位置数据, 形成B文件; 然后恢复出厂设置后, 设置四组密码, 读出EEPROM内密码位置数据, 形成b文件, 见图3。
2.1.5 读取特斯拉线圈干扰后锁内芯片数据
用特斯拉线圈干扰开锁后, 读出EEPROM内指纹位置数据, 形成C文件; 读出EEPROM内密码位置数据, 形成c文件, 见图4。
2.1.6 读取智能门锁正常工作时锁内芯片线路通信信号情况
智能门锁正常情况下, 用型号为UT2042B的数字存储示波器, 读出通信信号波形图, 该通信信号清晰, 符合串行通信的规范, 见图5。
2.1.7 读取特斯拉线圈干扰后锁内芯片线路通信信号情况
特斯拉线圈干扰后, 在相同采样频率和幅度下用同一个示波器读出波形图, 见图6。
2.2.1 特斯拉线圈开锁前后指纹储存区情况比较分析
比较A、B、C三个文件内容, 发现10000H位置开始预留部分地址为指纹存储区, 设置指纹前该区域数据全为FF, 设置指纹后该区域数据发生改变, 其他位置数据不变, 因此可以确定指纹的存储位置是10000H开始, 经过特斯拉线圈开锁后该区域数据变成全为FF。
2.2.2 特斯拉线圈开锁前后密码储存区情况比较分析
比较a、b、c三个文件内容, 发现4000H位置开始预留部分地址为数字密码区, 密码以明文存储的方式存储预设的密码值, 存储前在该区域数据全为ff, 存储后在该区域出现了四组明文数字, 与我们设置的密码数字相同, 因此可以确定密码的存储位置是4000H开始, 经过特斯拉线圈开锁后该区域数据变成全为ff。
2.2.3 特斯拉线圈开启智能门锁的原理验证分析
实验发现将IRQ、SCL、SDA三根线接到随机波形发生器的三个输出端, 启动随机波形发生器, 产生了与特斯拉线圈一样的效果, 智能门锁在干扰之下, 显示系统无密码, 门锁被打开。在逐根线验证过程中, 发现SCL、SDA两根线接上干扰信号, 智能门锁会受一定影响, 显示密码错误, 最后因5次密码错误而报警, 解除报警后工作正常; 当只把IRQ线接上干扰信号后, 智能门锁工作状态不正常, 声音及显示混乱, 并最终显示系统无密码, 门锁被打开。可以确定, 在IRQ上受到干扰信号源以后, 由于不能正常完成中断程序, 最终程序崩溃, EEPROM内容被抹除, 显示系统无密码, 门锁被打开。
2.2.4 智能门锁电路正常通信情况
正常闭锁情况下MCU处于待命状态, 有按键触发时, MPR121芯片产生中断信号(IRQ信号), 通知MCU进行数据处理, MCU通过与MPR121芯片的SCL和SDA进行通信, 获得匹配的按键输入值, 完成正常开锁任务。实验发现, 智能门锁对键盘的查询判断是采用中断方式进行的, 中断过程是先保护程序的当前运行位置, 也就是PC指针(program counter)被推入堆栈, 同时将寄存器推入堆栈, 之后将常用的寄存器和数据进行保护, 再进行中断程序运行, 然后在中断程序完毕后, 将PC指针及寄存器等推出堆栈, 程序从中断之前的位置继续运行。这个过程中最重要的是进行程序的核心内容保护, 进行推入及推出堆栈操作, 见图7。
2.2.5 特斯拉线圈开锁时通信情况
在特斯拉线圈的干扰之下, MPR121芯片与MCU之间通信信号不论是幅度还是波形, 都被彻底扰乱, MCU无法读到正确的键盘值, 而且中断的发生时刻及持续时间也是完全不可预测, 必然产生程序的误判断, 在特斯拉线圈的干扰之下, 程序频繁进入中断程序, 而且在没来得及进行正常的PC指针及寄存器的保护之前, 可能又再次进入了中断程序, 造成PC指针及寄存器的混乱, 进而使程序崩溃。经测试, 程序崩溃以后会抹除EEPROM里的密码数据及指纹数据, 在干扰消除以后, 程序显示系统无密码, 门锁可以随意打开, 见图8。
使用特斯拉线圈开锁后, 由于是非接触式开锁, 不会在锁的前门板、面板内各硬件及门板上形成工具痕迹, 锁芯上不会有开锁痕迹。现场勘查时对案发前后智能门锁的指纹开锁和密码开锁功能情况进行了解并验证, 如果案发前功能正常, 案发后出现无密码或任何指纹都能开启的情况(门锁恢复到出厂设置), 推断该智能门锁可能被特斯拉线圈开启过; 如果出现指纹和密码正常, 应考虑其他方式开锁进入室内。不管哪种方式进入室内, 现场勘查时需要提取可能遗留在外面板和门上的指纹和DNA。
对于一些智能门锁, 可以通过前面板上显示屏查找开锁日志或通过锁的APP查看开锁时间和开锁方式, 进一步推断作案时间和开锁方式。在具备条件时, 现场勘验时应将整个智能门锁提取检验, 在实验室对EEPROM里的数据进行提取分析, 分析EEPROM中用户密码和指纹等电子数据变化情况, 推测是否为特斯拉线圈开锁。如果EEPROM中用户密码和指纹等电子数据被擦除(恢复出厂设置除外), 则被特斯拉线圈开启过。
特斯拉线圈打开智能门锁是由于许多智能门锁没有安装合格的抗电磁干扰器, 主要体现在三方面:一是厂家原来生产销售产品没有意识到这方面的漏洞, 这些智能门锁在硬件和软件功能上完好, 能正常开闭锁, 但是在经受特斯拉线圈干扰后, 锁可以被打开; 二是市场竞争激烈, 智能门锁厂家鱼龙混杂, 有些小企业为了节省成本, 没有安装合格电磁干扰器; 三是有些智能门锁厂家, 考虑到在发生紧急情况下, 不能把人锁在房间里, 在电路出现程序紊乱后设置为自动开锁模式。目前大部分厂家采取两种方法:第一种方法是增加智能门锁抗电磁干扰强度, 使得特斯拉线圈干扰强度不足以打开; 另一种方法是让智能门锁在经受特斯拉线圈干扰出现程序紊乱或恢复出厂设置后, 门锁默认为闭锁状态, 这样即使使用了特斯拉线圈干扰也没法打开 [7]。
伴随着智能家居的发展, 智能门锁会越来越普及, 安全性会逐渐加强, 但也不可避免会出现新的非法开启手段。因此跟踪智能门锁的发展技术, 综合运用痕迹检验、电子数据检验和视频追踪等技术, 系统研究智能门锁非法开启方法、遗留痕迹和电子数据变化, 是刑事技术现场勘查和检验鉴定的重点之一, 也将成为今后法庭科学领域的重点研究任务之一。
[1] |
|
[2] |
|
[3] |
|
[4] |
|
[5] |
|
[6] |
|
[7] |
|