Samochody Honda są podatne na atak, w którym wykorzystuje się odkrytą niedawno słabość w zabezpieczeniach zdalnej komunikacji auta i pilota centralnego zamka. W praktyce niektóre modele można wówczas zdalnie otworzyć i odpalić, nie posiadając przy sobie kluczyków.
Na problem zwrócił uwagę serwis Niebezpiecznik, powołując się między innymi na potwierdzenie wadliwego algorytmu przez dziennikarza motoryzacyjnego Roba Stumpfa. Okazuje się, że niektóre samochody Honda da się otworzyć i uruchomić po częściowo “typowym” przechwyceniu komunikacji radiowej między pilotem i samochodem.
Opisywany problem bezpieczeństwa został już oznaczony symbolem CVE-2021-46145, a dotyczy nieskutecznego tu mechanizmu rolling code, stosowanego na różne sposoby w wielu systemach dostępu bezkluczykowego. Mechanizm ten w założeniu uodparnia komunikację między samochodem a kluczykiem właśnie na tego typu ataki.
Zauważono jednak, że w niektórych Hondach system jest wadliwy – odpowiednia sekwencja komend wysłana do samochodu zmusi pojazd do akceptowania kodów, które były wykorzystywane wcześniej. Te wystarczy więc uprzednio odczytać, a po zresetowaniu komunikacji ponownie wysłać do pojazdu. Auto powinno się wówczas otworzyć i dać uruchomić.
Jak podaje Niebezpiecznik, badacze sprawdzili wybrane modele samochodów Honda z lat 2012-2022 i we wszystkich przypadkach problem ten udało się potwierdzić. Podatne na atak są więc między innymi:
- Honda Civic 2012
- Honda X-RV 2018
- Honda C-RV 2020
- Honda Accord 2020
- Honda Odyssey 2020
- Honda Inspire 2021
- Honda Fit 2022
- Honda Civic 2022
- Honda VE-1 2022
- Honda Breeze 2022
Co ciekawe, sprawa została już skomentowana przez Hondę. Firma twierdzi, że prezentowane przykłady obejmują kluczyki bez mechanizmu rolling code, sugerując tym samym, że problem nie istnieje, a odkrywcy podatności nie mają dostatecznej wiedzy. Zdaniem Hondy samochody są więc bezpieczne, mimo że na GitHubie pojawiły się odpowiednie źródła pozwalające znawcom na (skuteczny – jak pokazują inne źródła) atak na samochody.
