HackBusting: ¿Puedes simular un control remoto de TV con un encendedor y algo de papel? Deja un comentario

Noticias

Recientemente publicamos un artículo donde alguien aparentemente controlaba su TV simulando un control remoto con solo un encendedor y una hoja de papel . El papel tenía un código de barras como recorte para una supuesta “Señal de espera universal” . El video atrajo legítimamente a una multitud considerable, algunos impresionados por su simplicidad, otros escépticos sobre sus afirmaciones.

Viniendo de una casa de producción genérica de “Viral Life Hack”, el toque característico de la música de fondo, más adecuado para un rave underground que un video técnico, ciertamente no le hizo ningún favor. Como cualquier activista con experiencia moderada sabría, los televisores modernos y los controles remotos han sido cuidadosamente diseñado para evitar tales percances. Muchos de nosotros en Hackaday, teníamos la impresión de que tomaría algo un poco más sofisticado que un encendedor de cuerpo fluorescente y una hoja de A4 crujiente para engañar al sistema. Entonces lo probamos. Nuestro veredicto? Poco probable, pero no imposible. (Y estamos bastante seguros de que el video es falso en cualquier caso). Pero suficiente especulación, estamos aquí para hacer ciencia.

Cuidado con el operador:

La incoherencia más evidente en la metodología del video es la omisión de 38-40 kHz portador generalmente empleado por controles remotos infrarrojos.

ir-transmission-scheme-carrier
Créditos: http://www.laser.com

Hay dos grandes ventajas de transmitir una señal de encendido y apagado con un operador:

  1. Optimice la frecuencia de transmisión a una que sea más adecuada para el medio. Esto minimizará la distorsión y pérdida incurridas.
  2. Evite las transmisiones falsas y la contaminación de la señal por un fondo ruidoso

El papel fundamental del operador lo convierte en clave en el proceso de decodificación de comandos en el extremo del televisor. Los receptores están diseñados para responder a una frecuencia particular. ¿Puede algo de esto seguir funcionando si descartamos el transportista?

Ingrese el receptor de infrarrojos:

módulo receptor infrarrojo

Si desarma su TV o cualquier otro dispositivo que use un control remoto IR, es probable que vea uno de estos. Los receptores de infrarrojos suelen ser dispositivos de 3 pines y no deben confundirse con fotodiodos IR o transistores IR.

Los últimos ignoran por completo el esquema de modulación y en su lugar simplemente responden a la longitud de onda correcta.

Los receptores IR, por otro lado, contienen un fotodiodo IR (o transistor) y circuitos adicionales para restringir las señales que están fuera de la banda de paso de 38-40 kHz. Una vez que está presente una portadora modulada de estilo AM, se demodula y se presenta en el pin de salida del dispositivo.

Créditos: Vishay TSOP4838 Hoja de datos
Créditos: Vishay TSOP4838 Hoja de datos

El rendimiento de los elementos, primordial para nuestra investigación, son el AGC (Automatic Gain Control) y el filtro de paso de banda. Evitan que el entorno ruidoso induzca respuestas espurias en la salida.

El trabajo del AGC es optimizar la ganancia para el ruido ambiental circundante. Por ejemplo, si tiene una lámpara fluorescente emitiendo IR de alta frecuencia gracias a los ruidosos balastos electrónicos o incluso a un encendedor que produce un patrón de bits de baja frecuencia, el AGC reducirá la sensibilidad general del receptor. Una vez que esta señal pasa a través del filtro paso banda debe ser atenuada lo suficiente como para ser rechazada por el demodulador. Los sofisticados receptores de infrarrojos incluso emplean circuitos de control inteligentes para rechazar algunos ruidos en banda en función de la longitud de la señal. No se ve bien para el truco.

¿Alguna esperanza para el hack?

En el papel, este truco parece hecho, espolvoreado y reventado. Incluso antes de proceder a buscar la hoja de datos en busca de la trama de Bode para dar el golpe final; está claro que el filtro de paso de banda tendría que ser bastante malo para filtrarse a través de una señal, órdenes de magnitudes más pequeñas en frecuencia que la portadora nominal.

Créditos: VISHAY TSOP4838 hoja de datos
Créditos: Vishay TSOP4838 hoja de datos

A primera vista, el filtro pasa banda funciona razonablemente bien. La figura 5 muestra la respuesta del receptor a una frecuencia relativa a la respuesta exhibida para la frecuencia nominal. El ancho de banda de 3 dB de este receptor IR es de aproximadamente 4 kHz; solo aproximadamente la mitad de la señal se transmite a 34 kHz o 42 kHz.

Desafortunadamente, el gráfico no se extiende hasta las frecuencias bajas de banda base en las que estamos interesados. Podemos extrapolar y ver que la respuesta se verá gravemente degradada en esas frecuencias. Sin embargo, esto aún no garantiza que una señal fuera de banda se atenúe suficiente ser rechazado con éxito por las etapas posteriores. ¿Cuánta atenuación necesitamos exactamente?

ir-receptor-bandpass-bodeplot2

Tal vez, más instructiva es la Figura 2. Muestra la irradiancia necesaria para activar la salida para una frecuencia determinada.

Casi a una octava de distancia de la frecuencia nominal, solo necesitamos siete veces la irradiancia para activar la salida. Suponiendo una extrapolación lineal cruda a la izquierda, necesitamos una ganancia de 10 dB de potencia incidente para activar la salida directamente, utilizando una señal de banda de base típica de 1 kHz. ¡Eso no es mucho!

Teniendo en cuenta que la irradiancia de una fuente de luz, como una llama, sigue la ley del cuadrado inverso. Si el encendedor se compra lo suficientemente cerca, el receptor IR podría aceptar la señal de banda base. ¿Esto realmente resucitó alguna esperanza para el hack?

Probemos esto

No voy a mentir. ¡Esperaba que esta investigación exigiera algunas pruebas exhaustivas “en el banco”, en lugar de solo prestárselo solo a un trabajo de libro! ¡La idea que ofrecen los gráficos ciertamente me ha dado una excusa para encender el osciloscopio!

He decidido proceder de una manera civilizada, una que no implique hackear algunos A4 y crear un posible riesgo de incendio. En su lugar, haré más fácil que su hack tenga éxito, idealizando todas las condiciones. Lo que necesitamos es una serie de pruebas para demostrar si un receptor IR reproduciría fielmente su entrada, independientemente de si se presenta en su forma de banda base de baja frecuencia o en su forma incrustada de portadora de alta frecuencia.

Prueba uno

Respuesta del transistor IR a un encendido más ligero a 10 cm de distancia
Respuesta del transistor IR a un encendido más ligero a 50cm de distancia

Para esta prueba, quería ver cómo un simple transistor IR se comportaría con una llama presente. Probé el colector de un transistor IR y descubrí que era totalmente sensible al encendedor. Tan pronto como el encendedor se enciende, el transistor se satura, se recupera y continúa respondiendo a la llama. Ahora, considerando las etapas de amplificación presentes en los receptores IR, esto podría causar estragos.

Claramente, el encendedor es una fuente muy fuerte de IR, que es ideal cuando se trata de engañar al receptor de infrarrojos.

Prueba dos

Pasemos a los receptores de IR reales. Tenía dos tipos en mi contenedor de piezas. Los encendí, sondeé el pin de salida y encendí el encendedor. Para mi sorpresa, todos fueron engañados en cuanto a producir un patrón de bits en la salida. ¡Incluso podría obtener una respuesta desde el otro lado de la habitación!

Sin embargo, la sensibilidad y la respuesta dependían del receptor utilizado. Los que tenían el blindaje de metal se comportaban peor que el cuerpo desnudo de cuerpo negro. De hecho, mira las dos tomas de alcance a continuación. ¿Puedes diferenciar entre el patrón de bits asociado con el control remoto y el más ligero?

Curiosamente, los receptores IR no ofrecieron ninguna respuesta al encendedor, después de la ignición inicial. Esto se debe principalmente a que el AGC finalmente compensa la fuente IR ciega y la experiencia de las señales de baja frecuencia de alta atenuación a través del receptor IR.

En cualquier caso, esto hace que la investigación sea interesante. ¡Es claramente posible inducir algún tipo de patrón de bits usando un encendedor! Pero, ¿se puede utilizar esto para producir un patrón deliberado o siempre nos limitamos a un galimatías propenso a errores? Vamos a construir un equipo de prueba para llegar al fondo de esto!

Prueba tres

ir-mythbusting-test-jig Los resultados de la prueba dos fueron un poco reveladores. Ahora necesitamos probar si se puede producir un flujo de bits confiable con un encendedor o cualquier otra perturbación deliberada de IR de baja frecuencia. Permite probar el caso ideal: un LED IR de alta potencia que emite el flujo de bits de la banda base (sin portadora) muy cerca del receptor IR. ¿Obtenemos la réplica exacta en la salida de los receptores?

Para mantener los datos de prueba tan realistas como sea posible, escribí un programa rápido en un STM32 para leer un flujo de bits desde mi control remoto y emitir ese resultado similar a un LED IR, menos el operador. Luego grabé el receptor IR y el IR juntos, y coloqué todo el accesorio en un velo de cartón. Comparando la salida del receptor IR con este flujo de bits emitido se decidirá el destino de este truco.

ir-receptor-prueba-jig-resultados

El rastro en la parte superior es la señal demodulada producida por mi control remoto de TV. La traza en el medio es la salida del LED IR que impulsa la MCU. Finalmente, la traza en la parte inferior es la salida del receptor IR. ¡Al principio parece haber funcionado!

Aquí hay una sección ampliada de la segunda y tercera traza. Deben ser idénticos para que el truco funcione:

ir-receptor-prueba-jig-resultados2

Uh ohh. Claramente, no son lo mismo. Repitiendo este experimento varias veces, incluso con diferentes tipos de receptores IR, he notado que la tasa de error es extremadamente alta y los patrones de bits producidos no son absolutamente repetibles sin el operador. En este caso, vemos dos conmutadores de salida para cada alternancia de entrada. Esto, sospecho, es un artefacto debido a que el demodulador no está contento con las frecuencias fuera de banda.

Aunque existe una fuerte correlación entre las dos señales, ciertamente no es suficiente para engañar a un televisor. Intenté señalar este IR LED a los tres televisores que tengo, ninguno de ellos se movió.

¿Puede una obstrucción producir cualquier patrón de bits?

Lo último que se prueba es producir algún tipo de patrón de bits usando una obstrucción. Esto es un poco redundante, como lo demostró la última prueba, las señales de baja frecuencia producen datos erróneos en los receptores ir-mythbusting-test1 salida de todos modos. Manipular esto para obtener un código válido es difícil o imposible.

Los receptores IR son dispositivos increíblemente sensibles. Por ejemplo, tratar de evitar que su televisor registre una pulsación remota cubriendo el LED no es fácil. A menos que intentes mucho, no puede ser obstruido. Por lo tanto, es muy probable que sin apagar la fuente de IR, una simple obstrucción basada en el corte simplemente se vea como una señal plana y siempre encendida para el receptor.

Para probar esto, probé varias obstrucciones basadas en tarjetas frente a un LED IR constante y más ligero. Moviendo la tarjeta hacia adelante y hacia atrás varias veces no conseguí nada.

Para mejorar las cosas, decidí utilizar un ventilador de PC como fuente de obstrucción. Girando a aproximadamente> 2000 RPM con siete cuchillas, da una frecuencia de 250-300 Hz. Esto funcionó bastante bien sin un operador, pero produjo un patrón de bits incorrecto en el alcance.

A continuación, para simular una portadora, proyecté el LED IR con el generador de funciones, en lugar de encenderlo constantemente. Configuré la frecuencia del flash a 38 kHz y voilà, ¡la señal de 300Hz perfectamente demodulada producida por el ventilador apareció en el visor! Sin embargo, si ahora me desvío de la portadora por una octava más o menos, veo un patrón erróneo de nuevo.

Las fotos a continuación muestran cómo peor desempeño El receptor IR que tenía, demoduló la señal de entrada de 300 Hz causada por los ventiladores, para un portador dado. Solo los portadores de 10 kHz y 38 kHz se demodularon con éxito para revelar la señal de 300 Hz subrayada.

El veredicto

Es el video falso? Pondríamos nuestro dinero en eso. Pero, ¿es posible producir patrones de bits en la salida de un receptor IR que utiliza una obstrucción y una fuente IR como un encendedor? Sí, y lo hemos demostrado. ¿Los patrones de bits producidos de esta manera son repetibles y libres de errores? No, y este es el quid de nuestro escepticismo. ¿Hay alguna posibilidad de que esto funcione, teniendo en cuenta la gran cantidad de receptores de IR del mercado? Una pequeña posibilidad, pero definitivamente una oportunidad. Si el receptor de infrarrojos tiene características de filtro de paso de banda dudosas y está feliz de trabajar en una portadora mucho más baja, podría ser simplemente plausible. Pero no es fácil, y no es un truco de la vida, lo que sea que eso signifique.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Enviar Whatsapp
Hola 👋
¿En qué podemos ayudarte?