Miliony samochodów Hondy mogą być zagrożone kradzieżą po ujawnieniu nowego ryzyka włamania na odległość.
Badacze bezpieczeństwa w Star-V Lab odkryli technikę, która pozwala każdemu otworzyć pojazd, otworzyć drzwi, a nawet uruchomić silnik za pomocą ręcznego radia z powodu luki w breloku samochodowym.
Kilka głównych modeli Hondy wydanych w latach 2012-2022 jest najwyraźniej dotkniętych wadą, w tym Accord, Civic, C-RV i X-RV.
honda zdalna usterka!
Naukowcy połączyli siły z dziennikarzem Robem Stumpfem z The Drive (otwiera się w nowej karcie), aby pokazać lukę, którą nazwali Rolling-PWN.
Problem tkwi w mechanizmie Rolling Code, w tym w systemie dostępu bezkluczykowego (znanym również jako brelok), aby zapobiec powtarzającym się atakom typu man-in-the-middle.
Zespół odkrył, że za każdym razem, gdy naciśnięty jest przycisk pilota, zwiększa się szansa, że pewne kody zostaną zaakceptowane, aby umożliwić dostęp do pojazdu. Zespół zauważa, że odbiornik w pojeździe akceptuje „przesuwane okno kodów” przede wszystkim po to, by zapobiegać przypadkowym naciśnięciom klawiszy.
Za każdym razem, gdy przycisk jest wciśnięty, licznik synchronizacji kodu kroczącego jest zwiększany, więc wysyłanie pewnych poleceń w kolejnej sekwencji powoduje ponowną synchronizację licznika, otwierając go na poprzednie polecenia, które umożliwiają dostęp do pojazdu.
„Błąd Rolling-PWN to poważna luka”, napisał zespół w poście na blogu (otwiera się w nowej karcie) opisując swoje odkrycia. „Znaleźliśmy go w podatnej na ataki wersji mechanizmu Rolling Code, który jest zaimplementowany w wielu pojazdach Hondy”.
Naukowcy zauważają, że każdy, kto posiada określoną markę pojazdu, może być zagrożony, a użytkownicy mogą nawet nie być w stanie wykryć, czy wada została wykorzystana przeciwko nim.
Ostrzegają również, że zagrożenie może dotyczyć pojazdów innych marek, a Honda wydaje się, że obecnie nie ma rozwiązania ani nawet nie zauważa problemu. Śledczy twierdzą, że próbowali złożyć raport, ale nie mogli znaleźć odpowiedniego sposobu, aby to zrobić, więc skontaktowali się z obsługą klienta Hondy.
Rzecznik Hondy powiedział Vice (otwiera się w nowej karcie), że raport nie był wiarygodny, a zarzuty były bezpodstawne.
„Wspomniane breloki samochodowe są wyposażone w technologię Rolling Code, która nie dopuszczałaby luki opisanej w raporcie” – podała firma.
„Ponadto filmy oferowane jako dowód na to, że nie ma kodu kroczącego, nie zawierają wystarczających dowodów na poparcie twierdzeń” – dodała firma.
Przez BleepingComputer (Otwiera się w nowej karcie)
