Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить

Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить

Будучи пятым по величине производителем автомобилей в мире, автомобили Honda являются обычным явлением на каждой дороге. Многие из этих транспортных средств могут иметь серьезную уязвимость, которую злоумышленник может использовать, чтобы разблокировать и запустить автомобиль. Исследователи, которые обнаружили эксплойт, известный как RollingPwn, говорят, что это может повлиять на все автомобили Honda с 2012 года до последних моделей 2022 года. Тем не менее, Honda в настоящее время отрицает, что существует уязвимость.

Проблема проистекает из FOB Honda без ключа, которая использует систему «каллинг -код» для аутентификации пульта. Каждый раз, когда вы нажимаете кнопку на удаленном управлении, прокатный код нажимает вперед, чтобы предотвратить так называемые «атаки воспроизведения», в которых кто-то захватывает и повторяет ваш удаленный код. Исследователи безопасности Кевин2600 и Уэсли Ли из Star-V Lab обнаружили, что реализация Honda Rolling Code имеет недостаток, который позволяет повторно использовать эти старые коды при определенных обстоятельствах.

Согласно заявлению исследователей, Honda внедрила скользящее окно кодов, чтобы избежать случайных нажатий клавиш. Таким образом, можно отправлять коды в последовательности в транспортное средство, пока счетчик не будет восстановаться. Как только это произойдет, коды из предыдущего цикла снова начинают работать, чтобы атаки воспроизведения стали возможными.

Код RollingPWN и подтверждение концепции были выпущены на прошлой неделе - неясно, была ли Honda в первую очередь, что является ключевым компонентом ответственного раскрытия. Несмотря на это, эксплойт в дикой природе, и несколько энтузиастов автомобилей и журналистов подтвердили, что это работает. Без ключа FOB в руке можно разблокировать двери и отдаленно запустить пораженные автомобили. Тем не менее, Хонда еще не признала, что ошибка существует. В заявлении для VICE Honda утверждает, что его система прокатного кода предотвращает атаки воспроизведения.

Молодец, время для катания PWN Все автомобили: P https://t.co/pyxwasf3br

- Kevin2600 (@Kevin2600) 10 июля 2022 г.

Исследователи проверили десять моделей автомобилей, в том числе 2020 CR-V, Civic 2022 года и Civic 2012 года. Все они были уязвимы для атаки, и, следовательно, возможно, что все автомобили Honda обратно в 2012 год одинаковы. Это может быть большой головной болью для владельцев Honda. В то время как некоторые из его более новых транспортных средств могут получать обновления OTA, большинство из них не может. Мало того, что Honda придется разработать новое программное обеспечение для десятков моделей, она должна была бы уговорить владельцев, чтобы доставить свои транспортные средства в дилерский центр или сервисный центр Honda для обновления программного обеспечения.

Кевин2600 и Ли считают, что тот же эксплойт может повлиять на других производителей автомобилей. Пара обещает больше деталей в будущем. Таким образом, все может ухудшиться, прежде чем они станут лучше.

Читать далее

Intel разблокирован: новые Fabs, Tick-Tock возвращает, самый большой капитальный ремонт в течение десятилетий
Intel разблокирован: новые Fabs, Tick-Tock возвращает, самый большой капитальный ремонт в течение десятилетий

Intel планирует свое возвращение к общему руководству по производительности. Он также разрывает десятилетия детских книг, запускающий новый литейный сервис клиента и планирую лицензию своей технологии сторонним поставщикам, таким как никогда ранее.

OCULUS дает прекращенное Oculus, пойти на новую аренду в жизни с разблокированным программным обеспечением
OCULUS дает прекращенное Oculus, пойти на новую аренду в жизни с разблокированным программным обеспечением

Выпуск Oculus Go в 2018 году был важным шагом для дивизии виртуальной реальности Facebook, но продукт был недолговечен. После того, как выступил устаревшим по квестам Oculus, компания прекратила Go в 2020 году. Тем не менее, Facebook продал миллионы автономных гарнитур, и теперь они более способны благодаря разблокированному обновлению программного обеспечения.

Некоторые телефоны Pixel 6A можно разблокировать незарегистрированными отпечатками пальцев
Некоторые телефоны Pixel 6A можно разблокировать незарегистрированными отпечатками пальцев

Согласно нескольким отчетам, последний телефон Google может быть разблокирован с помощью отпечатка пальца - любой отпечаток пальца, даже если это не тот, который вы зарегистрировали, или тот, который принадлежит кому -то другому.