Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить

Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить

Будучи пятым по величине производителем автомобилей в мире, автомобили Honda являются обычным явлением на каждой дороге. Многие из этих транспортных средств могут иметь серьезную уязвимость, которую злоумышленник может использовать, чтобы разблокировать и запустить автомобиль. Исследователи, которые обнаружили эксплойт, известный как RollingPwn, говорят, что это может повлиять на все автомобили Honda с 2012 года до последних моделей 2022 года. Тем не менее, Honda в настоящее время отрицает, что существует уязвимость.

Проблема проистекает из FOB Honda без ключа, которая использует систему «каллинг -код» для аутентификации пульта. Каждый раз, когда вы нажимаете кнопку на удаленном управлении, прокатный код нажимает вперед, чтобы предотвратить так называемые «атаки воспроизведения», в которых кто-то захватывает и повторяет ваш удаленный код. Исследователи безопасности Кевин2600 и Уэсли Ли из Star-V Lab обнаружили, что реализация Honda Rolling Code имеет недостаток, который позволяет повторно использовать эти старые коды при определенных обстоятельствах.

Согласно заявлению исследователей, Honda внедрила скользящее окно кодов, чтобы избежать случайных нажатий клавиш. Таким образом, можно отправлять коды в последовательности в транспортное средство, пока счетчик не будет восстановаться. Как только это произойдет, коды из предыдущего цикла снова начинают работать, чтобы атаки воспроизведения стали возможными.

Код RollingPWN и подтверждение концепции были выпущены на прошлой неделе - неясно, была ли Honda в первую очередь, что является ключевым компонентом ответственного раскрытия. Несмотря на это, эксплойт в дикой природе, и несколько энтузиастов автомобилей и журналистов подтвердили, что это работает. Без ключа FOB в руке можно разблокировать двери и отдаленно запустить пораженные автомобили. Тем не менее, Хонда еще не признала, что ошибка существует. В заявлении для VICE Honda утверждает, что его система прокатного кода предотвращает атаки воспроизведения.

Молодец, время для катания PWN Все автомобили: P https://t.co/pyxwasf3br

- Kevin2600 (@Kevin2600) 10 июля 2022 г.

Исследователи проверили десять моделей автомобилей, в том числе 2020 CR-V, Civic 2022 года и Civic 2012 года. Все они были уязвимы для атаки, и, следовательно, возможно, что все автомобили Honda обратно в 2012 год одинаковы. Это может быть большой головной болью для владельцев Honda. В то время как некоторые из его более новых транспортных средств могут получать обновления OTA, большинство из них не может. Мало того, что Honda придется разработать новое программное обеспечение для десятков моделей, она должна была бы уговорить владельцев, чтобы доставить свои транспортные средства в дилерский центр или сервисный центр Honda для обновления программного обеспечения.

Кевин2600 и Ли считают, что тот же эксплойт может повлиять на других производителей автомобилей. Пара обещает больше деталей в будущем. Таким образом, все может ухудшиться, прежде чем они станут лучше.

Читать далее

Сторонние ремонтные мастерские могут быть заблокированы для обслуживания камеры iPhone 12
Сторонние ремонтные мастерские могут быть заблокированы для обслуживания камеры iPhone 12

Согласно недавнему отчету iFixit, неприязнь Apple к праву на ремонт достигла новых высот с iPhone 12 и iPhone 12 Pro.

Huawei продает бренд Honor на фоне ужесточения торговых ограничений
Huawei продает бренд Honor на фоне ужесточения торговых ограничений

(Фото: Кевин Фрайер / Getty Images) За последние несколько лет Huawei столкнулась с торговыми ограничениями США, и это сказывается на долгосрочной стабильности компании. Эксперты не ожидают радикальных изменений, когда в следующем году к власти придет новая администрация США, поэтому Huawei начинает принимать решительные меры. Он продал свою честь ...

Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения
Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения

И Nvidia, и Google объявили о поддержке iOS для своих облачных игровых платформ через прогрессивные веб-приложения. Apple не может это заблокировать.

Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi
Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi

По словам Яна Бира из группы безопасности Google Project Zero, уязвимость позволяла ему красть фотографии с любого iPhone, просто направив на него антенну Wi-Fi.