Honda podatna na atak: niektóre samochody można zdalnie otworzyć i odpalić

Samochody Honda są podatne na atak, w którym wykorzystuje się odkrytą niedawno słabość w zabezpieczeniach zdalnej komunikacji auta i pilota centralnego zamka. W praktyce niektóre modele można wówczas zdalnie otworzyć i odpalić, nie posiadając przy sobie kluczyków.

Na problem zwrócił uwagę serwis Niebezpiecznik, powołując się między innymi na potwierdzenie wadliwego algorytmu przez dziennikarza motoryzacyjnego Roba Stumpfa. Okazuje się, że niektóre samochody Honda da się otworzyć i uruchomić po częściowo “typowym” przechwyceniu komunikacji radiowej między pilotem i samochodem.

Opisywany problem bezpieczeństwa został już oznaczony symbolem CVE-2021-46145, a dotyczy nieskutecznego tu mechanizmu rolling code, stosowanego na różne sposoby w wielu systemach dostępu bezkluczykowego. Mechanizm ten w założeniu uodparnia komunikację między samochodem a kluczykiem właśnie na tego typu ataki.

Zauważono jednak, że w niektórych Hondach system jest wadliwy – odpowiednia sekwencja komend wysłana do samochodu zmusi pojazd do akceptowania kodów, które były wykorzystywane wcześniej. Te wystarczy więc uprzednio odczytać, a po zresetowaniu komunikacji ponownie wysłać do pojazdu. Auto powinno się wówczas otworzyć i dać uruchomić.

Jak podaje Niebezpiecznik, badacze sprawdzili wybrane modele samochodów Honda z lat 2012-2022 i we wszystkich przypadkach problem ten udało się potwierdzić. Podatne na atak są więc między innymi:

  • Honda Civic 2012
  • Honda X-RV 2018
  • Honda C-RV 2020
  • Honda Accord 2020
  • Honda Odyssey 2020
  • Honda Inspire 2021
  • Honda Fit 2022
  • Honda Civic 2022
  • Honda VE-1 2022
  • Honda Breeze 2022

Co ciekawe, sprawa została już skomentowana przez Hondę. Firma twierdzi, że prezentowane przykłady obejmują kluczyki bez mechanizmu rolling code, sugerując tym samym, że problem nie istnieje, a odkrywcy podatności nie mają dostatecznej wiedzy. Zdaniem Hondy samochody są więc bezpieczne, mimo że na GitHubie pojawiły się odpowiednie źródła pozwalające znawcom na (skuteczny – jak pokazują inne źródła) atak na samochody.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Przestępcza klika Putina zamawia SI. Wyśledzi w sieci niepożądane przez nich treści

Rosysjki regulator mediów Roskomnadzor zamówił oprogramowanie oparte na sztucznej inteligencji, które będzie wykrywało w sieci materiały uważane za niedozwolone. Biorąc pod uwagę podpisaną przez Władimira Putina ustawę o “fake newsach”, narzędzie będzie zapewne śledziło również treści potępiające wojnę w Ukrainie.

Mobilne

Nowości w WhatsApp. Nowa aplikacja na komputery

Po fali krytyki ze strony użytkowników WhatsApp wreszcie wypuścił zupełnie nową wersję aplikacji na Windowsa. To nie koniec – podobna zmiana czeka WhatsApp na macOS.

Bezpieczeństwo

Wielka wpadka GIOŚ. Wyciekły dane osób, które informowały o zatruciu Odry!

Serwis lwowecki.info dotarł do ciekawych informacji. Okazuje się, że prawdopodobnie wyciekły dane osób, które informowały GIOŚ o nieprawidłowościach ws. zatrucia Odry. Urzędnicy przez przypadek mieli udostępnić imiona i nazwiska, adresy zamieszkania, numery telefonu oraz maile osób zgłaszających, włącznie z treścią pisma.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.