Дефектът на ключодържателя на Honda позволява на хакерите дистанционно да отключват и запалват автомобили – TechCrunch

Хакерите демонстрират атаката с радио повторение, използвайки уязвим ключодържател на Honda. Honda каза, че не може да определи дали атаката е “достоверна”. Кредити за изображения: Лаборатория Star-V

Изследователите по сигурността разкриха уязвимост в системата за безключов достъп на Honda, която може да позволи на хакерите дистанционно да отключат и стартират потенциално „всички превозни средства на Honda, които в момента съществуват на пазара“.

Rolling-Pwn” атака, разкрита от изследователи по сигурността на Star-V Lab Кевин2600 и Уесли Ли, използва уязвимост в начина, по който системата за безключов достъп на Honda предава кодове за удостоверяване между колата и ключодържателя. Действа по подобен начин на наскоро открития Bluetooth повторна атака, засягаща някои превозни средства на Tesla; използвайки лесно закупувано радио оборудване, изследователите успяха да подслушват и уловят кодовете, след което да ги излъчат обратно в колата, за да получат достъп.

Това позволи на изследователите дистанционно да отключат и стартират двигателите на автомобили, засегнати от уязвимостта, което включва модели от далечната 2012 г. и най-скорошните през 2022 г. Но според Задвижванетокойто независимо тества и провери уязвимостта на Honda Accord 2021 г., недостатъкът на ключодържателя не позволява на нападател да потегли с автомобила.

Като отбелязват изследователите, този вид атака трябва да бъде предотвратена от механизма за подвижни кодове на превозното средство — система, въведена за предотвратяване на повторни атаки чрез предоставяне на нов код за всяко удостоверяване на дистанционно влизане без ключ. Превозните средства имат брояч, който проверява хронологията на генерираните кодове, като увеличава броя, когато получи нов код.

Kevin2600 и Wesley Li откриха, че броячът в превозните средства на Honda се синхронизира повторно, когато автомобилът получи команди за заключване и отключване в последователна последователност, карайки автомобила да приема кодове от предишни сесии, които е трябвало да бъдат анулирани.

„Чрез изпращане на командите в последователна последователност към превозните средства Honda, той ще синхронизира отново брояча“, пишат изследователите. „След повторно синхронизиране на брояча командите от предишния цикъл на брояча работеха отново. Следователно тези команди могат да се използват по-късно за отключване на колата по желание.

Изследователите казват, че са тествали атаката си върху няколко модела на Honda, включително Honda Civic 2012, Honda Accord 2020 и Honda Fit 2022, но предупреждават, че уязвимостта в сигурността може да засегне „всички превозни средства на Honda, които в момента съществуват на пазара“ и може да засегне и други производители ‘императорът.

Изследователите по сигурността казват, че са се опитали да се свържат с Honda относно уязвимостта, но са открили, че компанията „няма отдел, който да се занимава с проблеми, свързани със сигурността на техните продукти“. Като такива, те докладваха за проблема на отдела за обслужване на клиенти на Honda, но все още не са получили отговор.

В изявление, дадено на Задвижванетокомпанията първоначално настоя, че технологията в нейните ключодържатели „няма да позволи уязвимостта, както е представена в доклада“.

Въпреки това, в изявление, дадено на TechCrunch, говорителят на Honda Крис Нотън каза, че компанията „може потвърждават твърденията, че е възможно да се използват сложни инструменти и техническо ноу-хау за имитиране на дистанционни команди без ключ и получаване на достъп до определени превозни средства или нашите.

„Въпреки че е технически възможно, ние искаме да уверим нашите клиенти, че този конкретен вид атака, която изисква непрекъснато улавяне на сигнал от близка близост на множество последователни радиочестотни предавания, не може да се използва за прогонване на превозното средство. Освен това Honda редовно подобрява функциите за сигурност, тъй като се въвеждат нови модели, които биха осуетили този и подобни подходи“, каза Нотън, отбелязвайки, че макар компанията да няма „план“ за актуализиране на по-стари превозни средства, преработените автомобили от 2022 и 2023 г. имат подобрена система което би попречило на този тип атака да работи.

Както отбелязват изследователите по сигурността, коригирането на недостатъка би било трудно поради факта, че по-старите превозни средства не поддържат актуализации по въздуха (OTA). Притеснителното е, че изследователите също предупреждават, че няма начин да се предпазите от хакване и няма начин да определите дали се е случило на вас.

Актуализиран с коментари от Honda.