Et nyt proof-of-concept (PoC) kode viser, at angribere kan fjernlåse, låse, og start Honda- og Acura-køretøjer. Dette er muligt på grund af en sårbarhed i det eksterne nøglefrie system, CVE-2022-27254, som påvirker Honda Civic LX, EX, EX-L, Touring, Og, og Type R-modeller fremstillet mellem 2016 og 2020.
CVE-2022-27254 i det nøglefri fjernbetjeningssystem fra Honda og Acura
Ifølge NVDs beskrivelse af sikkerhedsbristen, det nøglefri fjernbetjeningssystem på Honda Civic 2018 køretøjer sender det samme RF-signal for hver døråbningsanmodning, giver mulighed for det såkaldte replay-angreb.
Afsløringen af sårbarheden er blevet tilskrevet Ayyappan Rajesh, en studerende ved UMass Dartmouth, og Blake Berry, kendt som HackingIntoYourHeart.
Ifølge deres GitHub-opskrift, angrebet baseret på CVE-2022-27254 ser ud til at påvirke HVER Honda/Acura-køretøj med fjernadgang eller trådløs radioadgang. "Honda indfører ALDRIG et rullende kodesystem og fremstiller KUN systemer med statiske koder, hvilket betyder, at der IKKE er noget sikkerhedslag,”Siger forskerne.
Angrebet gør det muligt for en hacker at få "fuldstændig og ubegrænset adgang til låsning, oplåsning, styre vinduerne, åbne bagagerummet, og start af målkøretøjets motor." Den eneste måde at forhindre angrebet på er enten aldrig at bruge din fob eller, efter at være blevet kompromitteret (hvilket ville være svært at etablere), nulstilling af din fob hos en forhandler.
Hvordan kan et angreb udløses?
Det eneste, der skal til, er at fange signalet, der sendes fra den såkaldte nøglebrik. En nøglebrik er en lille fjernbetjeningsenhed til et fjernbetjeningssystem uden nøgle.
"Hvis målet låser deres køretøj, alt det kræver er at modtage det og gemme det, så jeg kan få muligheden for at afspille den samme kommando og få køretøjet til at reagere i overensstemmelse hermed,”Siger forskerne.
Hvordan reagerede bilfabrikanterne?
Angiveligt, Honda ignorerede sårbarhedsrapporten, med nul sikkerhedsforanstaltninger mod dette meget enkle “afspil/afspil og rediger” angreb. "Denne CVE citerer interessant nok kun ét køretøj, og jeg opdagede det først meget senere i min søgen efter forskning." i øvrigt, Honda vil ikke svare forskerne, eller tilsyneladende nogen, der forsøger at rapportere denne store sikkerhedssårbarhed, ifølge GitHub indlæg.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: