Interpult Studio

Исследователи безопасности и ПриводРоб Штумпф недавно выложили видео о себе разблокировать и дистанционно запустить несколько автомобилей Honda с помощью портативных радиостанций, несмотря на то, что компания настаивает на том, чтобы автомобили были оснащены средствами защиты, призванными помешать злоумышленникам сделать именно это. По словам исследователей, этот взлом стал возможен из-за уязвимости в системе доступа без ключа во многих автомобилях Honda, выпущенных в период с 2012 по 2022 год. назвал уязвимость Rolling-PWN.

Основная концепция Rolling-PWN аналогична атакам, которые мы видели ранее, когда они использовались против VW и Tesla, а также других устройств; с помощью радиооборудования кто-то записывает законный радиосигнал с брелока, а затем передает его обратно в автомобиль. Это называется повторной атакой, и если вы думаете, что можно защититься от такого рода атак с помощью какой-то криптографии, вы правы. Теоретически во многих современных автомобилях используется так называемая система с вращающимся ключом, в основном делающая так, что каждый сигнал срабатывает только один раз; вы нажимаете кнопку, чтобы отпереть свою машину, ваша машина отпирается, и этот точный сигнал больше никогда не должен отпирать вашу машину.

Но, как Ялопник указывает на то, не каждая недавняя Хонда имеет такой уровень защиты. Исследователи также обнаружили уязвимости там, где на удивление недавние Honda (в частности, Civic 2016–2020 годов) вместо этого использовали незашифрованный сигнал, который не изменяется. И даже те, у кого есть системы с плавающим кодом, включая CR-V 2020 года, Accord и Odyssey, как сообщает Honda Vice, могут быть уязвимы для недавно обнаруженной атаки. На веб-сайте Rolling-PWN есть видео о взломе, используемом для разблокировки этих транспортных средств с изменяющимся кодом, и Штумпф смог… ну, в значительной степени покупают Accord 2021 года с эксплойтом, дистанционно включив его двигатель, а затем разблокировав его.

READ  Как этот бизнес создает безопасное пространство для молодых женщин

Хонда сказала Привод что системы безопасности, которые он устанавливает в свои брелоки и автомобили, «не позволят реализовать уязвимость, представленную в отчете». Другими словами, компания заявляет, что атака не должна быть возможной, но очевидно, что так или иначе. Мы попросили компанию прокомментировать Приводдемонстрация, которая была опубликована в понедельник, но не сразу ответила.

Согласно веб-сайту Rolling-PWN, атака работает, потому что она может повторно синхронизировать счетчик кодов автомобиля, а это означает, что он будет принимать старые коды — в основном потому, что система построена с некоторыми допусками (так что вы можете использовать свой вход без ключа даже если кнопка нажимается один или два раза, когда вы находитесь вдали от автомобиля, и поэтому автомобиль и пульт остаются синхронизированными), его система безопасности может быть побеждена. Сайт также утверждает, что это затрагивает «все автомобили Honda, существующие в настоящее время на рынке», но признает, что на самом деле это было протестировано только на нескольких моделях.

Что еще более тревожно, сайт предполагает, что другие марки автомобилей также затронуты, но детали неясны. Хотя это заставляет меня нервно смотреть на мой Ford, на самом деле это, вероятно, хорошо — если исследователи безопасности следуют стандартным процедурам ответственного раскрытия информации, они должны обратиться к автопроизводителям и дать им возможность решить проблему до того, как подробности будут обнародованы. Согласно с Ялопникисследователи связались с Honda, но им сказали подать отчет в службу поддержки клиентов (что на самом деле не является стандартной практикой безопасности).


https://www.theverge.com/2022/7/11/23204663/honda-remote-keyfob-hack-rolling-pwn-demonstration-security

от admin

EnglishFrançaisDeutschРусский