Хакеры угоняют машины, пока Honda пытается скрыть уязвимость в своих электронных ключах

Хакеры угоняют машины, пока Honda пытается скрыть уязвимость в своих электронных ключах

Уязвимости подвержены машины, выпущенные в период с 2012 по 2022 год.

image

Каждый раз, когда вы нажимаете кнопку на брелке, генератор псевдослучайных чисел отправляет полуслучайный код в автомобиль, давая ему команду, скажем, разблокировать двери или открыть подъемные ворота. Затем автомобиль сверяет этот код со списком действительных кодов; и если это законно, он выполняет команду. Также предполагается, что предыдущие коды становятся недействительными, чтобы не допустить их повторного использования злоумышленниками.

Вот в чем загвоздка: есть еще одна группа кодов, предназначенных для использования, когда брелок находится вне зоны действия автомобиля. А в случае с автомобилями Honda хакеры перехватывают и записывают эти недопустимые коды. Они используют их для повторной синхронизации генератора чисел, что позволяет позже угнать автомобиль.

Исследователи назвали обнаруженную уязвимость RollingPWN и заявили, что ей подвержены все машины, выпущенные Honda в период с 2012 по 2022 годы.

Эксперты успешно протестировали атаку на 10 самых популярных моделях автомобилей Honda с 2012 по 2022 год, среди которых оказались::

  • Honda Civic 2012

  • Honda X-RV 2018

  • Honda C-RV 2020

  • Honda Accord 2020

  • Honda Odyssey 2020

  • Honda Inspire 2021

  • Honda Fit 2022

  • Honda Civic 2022

  • Honda VE-1 2022

  • Honda Breeze 2022

Несмотря на все обвинения и доказательства, Honda отрицает факт существования RollingPWN.

Специалисты также отметили, что обнаружить следы атаки с использованием уязвимости невозможно, так как она не оставляет записей в логах. Чтобы не стать жертвой такой атаки, исследователи рекомендуют обновить уязвимую прошивку брелка и для профилактики поместить его в клетку Фарадея. Если вы уже стали жертвой RollingPWN, то стоит немедленно обратиться в дилерский центр и сбросить брелок.

Напомним, что не только Honda страдает от хакеров. В этом году исследователи обнаружили множество уязвимостей в электромобилях Tesla. Уязвимости в протоколе Bluetooth LE и ключ-картах Tesla позволяли злоумышленникам проникать в салон электрокара и заводить двигатель.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!