Вразливість автомобіля Honda дозволяє віддалено розблокувати та запустити

Вразливість автомобіля Honda дозволяє віддалено розблокувати та запустити

Як п'ятий за величиною виробник авто, транспортні засоби Honda є звичайним видовищем по суті кожної дороги. Багато з цих транспортних засобів можуть мати велику вразливість, яку зловмисник може використовувати для розблокування та запуску автомобіля. Дослідники, які виявили експлуат, відомий як Rollingpwn, кажуть, що це може вплинути на всі транспортні засоби Honda з 2012 року за останніми моделями 2022. Однак Honda в даний час заперечує, що існує вразливість.

Проблема випливає з ключового запису Honda, який використовує систему "коду прокатки" для аутентифікації віддаленого. Щоразу, коли ви натискаєте кнопку на віддаленому керуванні, код прокатки натискає вперед, щоб запобігти так званому "атаці повторного відтворення", в яких хтось фіксує та переказує ваш віддалений код. Дослідники безпеки Kevin2600 та Wesley Li з Lab-Lab Lab виявили, що реалізація коду коду Honda має недолік, який дозволяє повторно використовувати ці старі коди за певних обставин.

Згідно з заявою дослідників, Honda реалізувала розсувне вікно кодів, щоб уникнути випадкових натискань ключів. Отже, можна надсилати коди послідовно до транспортного засобу, поки лічильник не ресинхронізується. Як тільки це станеться, коди попереднього циклу знову починають працювати, тому атака повторів стають можливими.

Код Rollingpwn та доказ концепції були випущені минулого тижня - незрозуміло, чи спочатку була попереджалася Honda, що є ключовим компонентом відповідального розкриття інформації. Незважаючи на те, що подвиг є в дикій природі, і кілька любителів автомобілів та журналістів підтвердили, що це працює. Без ключового FOB в руці можна розблокувати двері та віддалено запустити уражені машини. Тим не менш, Honda ще не визнав, що помилка існує. У заяві VICE Honda стверджує, що її система коду коду запобігає повторним атакам.

Молодці, час для прокатки всіх автомобілів: p https://t.co/pyxwasf3br

- Kevin2600 (@kevin2600) 10 липня 2022

Дослідники перевірили десять моделей автомобілів, включаючи 2020 CR-V, Civic 2022 та Civic 2012 року. Усі вони були вразливими до нападу, і, отже, можливо, всі транспортні засоби Honda в 2012 році однакові. Це може бути великим головним болем для власників Honda. У той час як деякі її новіші транспортні засоби можуть отримувати оновлення OTA, більшість не може. Honda не тільки повинен був би розробити нове програмне забезпечення для десятків моделей, але й доведеться привернути власників, щоб привезти свої транспортні засоби до автосалону чи сервісного центру Honda для оновлення програмного забезпечення.

Kevin2600 та Li вважають, що той самий подвиг може вплинути на інших виробників автомобілів. Пара обіцяє більше деталей у майбутньому. Отже, все може погіршитися, перш ніж вони покращуються.

Читати далі

AMD розкриває спектральну вразливість в CPU Zen 3
AMD розкриває спектральну вразливість в CPU Zen 3

AMD розкриває потенційну вразливість безпеки на його дзен 3 процесора з схожими до причальної атаки від декількох років тому, але компанія вважає, що ризик мінімальний.

Microsoft помічає вразливість MACOS, яка дозволяє перевіряти зловмисне програмне забезпечення
Microsoft помічає вразливість MACOS, яка дозволяє перевіряти зловмисне програмне забезпечення

Лазівка, яка отримала назву Ахілла, експлуатувала вразливість воротаря MacOS, яка дозволила безперебійним додаткам виконувати на цільовій машині.

Google знаходить вразливість до нуля в Chrome, вимагає негайного оновлення
Google знаходить вразливість до нуля в Chrome, вимагає негайного оновлення

Якщо ви не дозволили Chrome оновити нещодавно, знайдіть час, щоб зробити це зараз.

Ноутбуки Razer постачаються з величезною вразливістю прошивки
Ноутбуки Razer постачаються з величезною вразливістю прошивки

Ноутбуки Razer охоплюють естетику геймерів у поєднанні з потужним обладнанням. Проте, вони також мають неприємну уразливість безпеки, яка може дозволити хакерам імплантувати шкідливі програми у вашій системі.