Уязвимость автомобиля Honda позволяет пульт разблокировать и запустить
Будучи пятым по величине производителем автомобилей в мире, автомобили Honda являются обычным явлением на каждой дороге. Многие из этих транспортных средств могут иметь серьезную уязвимость, которую злоумышленник может использовать, чтобы разблокировать и запустить автомобиль. Исследователи, которые обнаружили эксплойт, известный как RollingPwn, говорят, что это может повлиять на все автомобили Honda с 2012 года до последних моделей 2022 года. Тем не менее, Honda в настоящее время отрицает, что существует уязвимость.
Проблема проистекает из FOB Honda без ключа, которая использует систему «каллинг -код» для аутентификации пульта. Каждый раз, когда вы нажимаете кнопку на удаленном управлении, прокатный код нажимает вперед, чтобы предотвратить так называемые «атаки воспроизведения», в которых кто-то захватывает и повторяет ваш удаленный код. Исследователи безопасности Кевин2600 и Уэсли Ли из Star-V Lab обнаружили, что реализация Honda Rolling Code имеет недостаток, который позволяет повторно использовать эти старые коды при определенных обстоятельствах.
Согласно заявлению исследователей, Honda внедрила скользящее окно кодов, чтобы избежать случайных нажатий клавиш. Таким образом, можно отправлять коды в последовательности в транспортное средство, пока счетчик не будет восстановаться. Как только это произойдет, коды из предыдущего цикла снова начинают работать, чтобы атаки воспроизведения стали возможными.
Код RollingPWN и подтверждение концепции были выпущены на прошлой неделе - неясно, была ли Honda в первую очередь, что является ключевым компонентом ответственного раскрытия. Несмотря на это, эксплойт в дикой природе, и несколько энтузиастов автомобилей и журналистов подтвердили, что это работает. Без ключа FOB в руке можно разблокировать двери и отдаленно запустить пораженные автомобили. Тем не менее, Хонда еще не признала, что ошибка существует. В заявлении для VICE Honda утверждает, что его система прокатного кода предотвращает атаки воспроизведения.
Молодец, время для катания PWN Все автомобили: P https://t.co/pyxwasf3br
- Kevin2600 (@Kevin2600) 10 июля 2022 г.
Исследователи проверили десять моделей автомобилей, в том числе 2020 CR-V, Civic 2022 года и Civic 2012 года. Все они были уязвимы для атаки, и, следовательно, возможно, что все автомобили Honda обратно в 2012 год одинаковы. Это может быть большой головной болью для владельцев Honda. В то время как некоторые из его более новых транспортных средств могут получать обновления OTA, большинство из них не может. Мало того, что Honda придется разработать новое программное обеспечение для десятков моделей, она должна была бы уговорить владельцев, чтобы доставить свои транспортные средства в дилерский центр или сервисный центр Honda для обновления программного обеспечения.
Кевин2600 и Ли считают, что тот же эксплойт может повлиять на других производителей автомобилей. Пара обещает больше деталей в будущем. Таким образом, все может ухудшиться, прежде чем они станут лучше.
Читать далее
Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня
В отличие от последних нескольких нулевых дней, Google не обнаружил эти дыры в безопасности сам. Вместо этого он был предоставлен анонимными третьими сторонами, и проблемы настолько серьезны, что они не раскрыли полных деталей. Достаточно сказать, что вам стоит перестать откладывать это обновление.
Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi
По словам Яна Бира из группы безопасности Google Project Zero, уязвимость позволяла ему красть фотографии с любого iPhone, просто направив на него антенну Wi-Fi.
AMD раскрывает призванную уязвимость в CPU в Цен 3
AMD раскрыла потенциальную уязвимость в области безопасности на его процессорах ZEN 3 с сходством к приступе к призракам от нескольких лет назад, но компания считает, что риск минимален.
Intel, исследователи обсуждают, существуют ли новые уязвимости типа спектров
Исследователи утверждают, что нашли новый тип призрачной атаки, который обходит все существующие защиты, но что обрамление не поддерживается.