Уязвимости подвержены машины, выпущенные в период с 2012 по 2022 год.
Каждый раз, когда вы нажимаете кнопку на брелке, генератор псевдослучайных чисел отправляет полуслучайный код в автомобиль, давая ему команду, скажем, разблокировать двери или открыть подъемные ворота. Затем автомобиль сверяет этот код со списком действительных кодов; и если это законно, он выполняет команду. Также предполагается, что предыдущие коды становятся недействительными, чтобы не допустить их повторного использования злоумышленниками.
Вот в чем загвоздка: есть еще одна группа кодов, предназначенных для использования, когда брелок находится вне зоны действия автомобиля. А в случае с автомобилями Honda хакеры перехватывают и записывают эти недопустимые коды. Они используют их для повторной синхронизации генератора чисел, что позволяет позже угнать автомобиль.
Исследователи назвали обнаруженную уязвимость RollingPWN и заявили, что ей подвержены все машины, выпущенные Honda в период с 2012 по 2022 годы.
Эксперты успешно протестировали атаку на 10 самых популярных моделях автомобилей Honda с 2012 по 2022 год, среди которых оказались::
- Honda Civic 2012
- Honda X-RV 2018
- Honda C-RV 2020
- Honda Accord 2020
- Honda Odyssey 2020
- Honda Inspire 2021
- Honda Fit 2022
- Honda Civic 2022
- Honda VE-1 2022
- Honda Breeze 2022
Несмотря на все обвинения и доказательства, Honda отрицает факт существования RollingPWN.
Специалисты также отметили, что обнаружить следы атаки с использованием уязвимости невозможно, так как она не оставляет записей в логах. Чтобы не стать жертвой такой атаки, исследователи рекомендуют обновить уязвимую прошивку брелка и для профилактики поместить его в клетку Фарадея. Если вы уже стали жертвой RollingPWN, то стоит немедленно обратиться в дилерский центр и сбросить брелок.
Напомним, что не только Honda страдает от хакеров. В этом году исследователи обнаружили множество уязвимостей в электромобилях Tesla. Уязвимости в протоколе Bluetooth LE и ключ-картах Tesla позволяли злоумышленникам проникать в салон электрокара и заводить двигатель.
Подробнее: https://www.securitylab.ru/news/532738.php?ref=123