Security Week 2228: уязвимости в автомобильных брелоках

Security Week 2228: уязвимости в автомобильных брелоках

На прошлой неделе исследователь, известный как Kevin2600 , опубликовал детали уязвимости, названной Rolling-PWN . В короткой публикации утверждается, что все или почти все автомобили Honda, выпущенные за последние 10 лет, подвержены атаке, позволяющей перехватить радиопередачу между автомобилем и брелоком, и позднее разблокировать и даже завести машину в отсутствие владельца.

Этой весной в автомобилях Honda уже находили похожую уязвимость, но тогда речь шла о совсем тривиальной проблеме. На части автомобилей (упоминались Honda Civic 2016–2020 годов выпуска) брелок передает фиксированные радиокоманды на открытие и закрытие дверей, запуск двигателя. Воспроизвести их не составляет труда, и тогда первооткрыватели проблемы настойчиво рекомендовали переходить на скользящие коды, меняющиеся при каждой отправке команды по определенному алгоритму. Kevin2600 с коллегами обнаружили уязвимость именно в технологии скользящих кодов.

Если верить довольно туманному описанию уязвимости (и без технических подробностей), проблема вот в чем. Коды в большинстве автомобилей Honda действительно скользящие. То есть каждое нажатие кнопки на пульте передает в эфир новую последовательность данных. Но эта система должна иметь защиту от случайных нажатий брелока, когда радиосвязи между ним и автомобилем нет — и нет возможности синхронизировать передаваемые коды. Для этого автомобиль принимает не только конкретный код, очередь которого подошла, а несколько кодов в пределах определенного окна.

Все это можно упростить до такого утверждения: множество скользящих кодов — фиксированное. Kevin2600 сломал весь алгоритм генерации переменных кодов для разблокировки автомобиля. Комментируя исследование изданию Vice, представитель Honda назвал исследование «старым», но потом явно говорил о другой уязвимости с фиксированными кодами разблокировки. Тем не менее «новой» работу Kevin2600 тоже назвать нельзя. Еще в декабре 2021 года в блоге команды Starvlab, участником которой является Kevin2600, уже были опубликованы детали проблемы со скользящими кодами. Тогда, правда, это относилось только к относительно старой Honda Civic 2012 года. Теперь же метод был проверен в том числе на автомобилях 2022 года выпуска.

А вот намеки представителя Honda, что анониму с ником Kevin2600 не стоит доверять, мы оставим на совести представителя. Несмотря на анонимность, Kevin2600 последовательно работает над темой защищенности автомобилей уже несколько лет. А то, что на видео и в тексте исследования не было показано технических деталей — так это делается в рамках этических норм при раскрытии информации об уязвимостях, чтобы не спровоцировать эпидемию угонов автомобилей одного производителя.

Или не одного? В августе на конференции Black Hat анонсирована презентация других исследователей на ту же тему: уязвимость переменных кодов в автомобильных брелоках. Там и вовсе заявлено об уязвимости в большинстве автомобильных систем безопасности со скользящими кодами. Единожды перехватив сигнал от брелока, исследователи якобы могут восстановить всю последовательность скользящих кодов для автомобиля. Надеемся, что в этой презентации будет больше деталей. Если громкие заявления исследователей подтвердятся, будет интересно.

Что еще произошло:

Компания Microsoft отменила свое решение о блокировке макросов в офисных документах, загруженных из интернета. Запрет на макросы был анонсирован в феврале 2022 года и тогда был воспринят как нечто, что можно было бы сделать больше двадцати лет назад. Вредоносный код в офисных документах был причиной множества вирусных эпидемий на рубеже тысячелетий, поэтому блокировка выполнения макросов при загрузке файлов из сети казалась вполне логичным шагом. Тем не менее «на основе отзывов» (непонятно чьих) Microsoft приняла решение отменить запрет, но временно, пока не получится внести какие-то другие изменения. Можно с высокой долей вероятности предположить, что причиной такого странного поведения является критика со стороны крупных клиентов компании, процессы которых так или иначе зависят от макросов в документах, а ограничения (в целом разумные) эти процессы ломают.

Издание ArsTechnica подробно описывает новый режим Lockdown Mode, который скоро появится в смартфонах, планшетах и даже на компьютерах компании. В нем ограничивается практически вся функциональность устройства: например, блокируется открытие почтовых вложений за исключением картинок, отключается часть функциональности Javascript в браузере и так далее. Задача — максимально усложнить жизнь создателям шпионского ПО. Для обычных пользователей такой режим вряд ли подойдет, но в некоторых случаях может быть полезен.

Свежее исследование специалистов «Лаборатории Касперского» посвящено «текстовому мошенничеству»: это когда ваш компьютер не взламывают и пароли не крадут, а вместо этого путем убеждения заставляют вас перевести средства мошенникам. В статье приведена интересная подборка видов подобного спама: это и «ковидные выплаты» и «умер богатый дядюшка», и относительно свежие требования выкупа «я знаю, какую порнографию вы смотрели». И куда более экзотические методы, например распространенный в США «голосовой фишинг», когда вас пугают списанием со счета в банке или с PayPal, дают телефон для связи, а там уже «обрабатывают» до готовности.

keyfob rolling-pwn
Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!