Этот взлом дистанционного брелока может сделать уязвимыми последние десять лет Honda

Даже самые последние модели. Изображение: Honda

Исследователи безопасности и Роб Штумпф из The Drive недавно опубликовали видео, на которых они открывают и удаленно запускают несколько автомобилей Honda с помощью портативных радиостанций, несмотря на то, что компания настаивает на том, что автомобили имеют средства защиты, призванные помешать злоумышленникам сделать именно это. По мнению исследователей, этот взлом стал возможным из-за уязвимости в системе бесключевого доступа во многих автомобилях Honda, выпущенных в период с 2012 по 2022 год. Они назвали эту уязвимость Rolling-PWN.

Основная концепция Rolling-PWN аналогична атакам, которые мы видели ранее против VW и Tesla, а также других устройств; используя радиооборудование, кто-то записывает законный радиосигнал с брелока, а затем передает его обратно в автомобиль. Это называется повторной атакой, и если вы думаете, что должна быть возможность защититься от такого рода атак с помощью какой-то криптографии, вы правы. Теоретически, многие современные автомобили используют так называемую систему подвижных ключей, которая в основном делает так, что каждый сигнал срабатывает только один раз; вы нажимаете кнопку, чтобы разблокировать свой автомобиль, ваш автомобиль разблокируется, и этот точный сигнал никогда больше не должен разблокировать ваш автомобиль.

Но, как отмечает Джалопник, не каждая новейшая Honda имеет такой уровень защиты. Исследователи также обнаружили уязвимости, из-за которых удивительно недавние версии Hondas (в частности, Civics с 2016 по 2020 год) вместо этого использовали незашифрованный сигнал, который не меняется. И даже те, у которых есть действующие системы кодов, включая CR—V 2020 года, Accord и Odyssey, сообщает Honda Vice, могут быть уязвимы для недавно обнаруженной атаки. На веб-сайте Rolling-PWN есть видеоролики о взломе, используемом для разблокировки этих транспортных средств с кодом rolling, и Штумпф смог … ну, в значительной степени pwn Accord 2021 года с помощью эксплойта, дистанционно включив его двигатель, а затем разблокировав его.

Honda сообщила The Drive, что системы безопасности, которые она устанавливает в свои брелоки и автомобили, “не позволят использовать уязвимость, представленную в отчете”. Другими словами, компания заявляет, что атака не должна быть возможной, но очевидно, что каким—то образом это возможно. Мы попросили компанию прокомментировать демонстрацию привода, которая была опубликована в понедельник, но она не сразу ответила.

Согласно веб-сайту Rolling—PWN, атака работает, потому что она способна повторно синхронизировать счетчик кодов автомобиля, что означает, что он будет принимать старые коды — в основном потому, что система построена с учетом некоторых допусков (так что вы можете использовать свой бесключевой вход, даже если кнопка нажата один или два раза во время вы находитесь вдали от автомобиля, и поэтому автомобиль и пульт дистанционного управления остаются синхронизированными), его система безопасности может быть отключена. Сайт также утверждает, что он затрагивает “все автомобили Honda, существующие в настоящее время на рынке”, но признает, что на самом деле он был протестирован только на нескольких модельных годах.

Еще более тревожно то, что сайт предполагает, что пострадали и другие марки автомобилей, но подробности не раскрываются. Хотя это заставляет меня нервно поглядывать на свой Ford, на самом деле, вероятно, это хорошо — если исследователи безопасности следуют стандартным процедурам ответственного раскрытия информации, они должны связаться с автопроизводителями и дать им шанс решить проблему до того, как подробности станут достоянием общественности. По словам Джалопника, исследователи связались с Honda, но им сказали подать отчет в службу поддержки клиентов (что на самом деле не является стандартной практикой безопасности).

Оцените статью
Добавить комментарии
Этот взлом дистанционного брелока может сделать уязвимыми последние десять лет Honda
vivo v25 pro tipped to pack 64 megapixel triple rear camera setup feature 66w fast charging 6605531
Vivo V25 Pro оснащен 64-мегапиксельной тройной задней камерой и быстрой зарядкой мощностью 66 Вт.