Ein neuer Proof-of-Concept (PoC) Code zeigt, dass Angreifer aus der Ferne sperren können, aufschließen, und starten Sie Honda- und Acura-Fahrzeuge. Dies ist aufgrund einer Schwachstelle im Remote Keyless-System möglich, CVE-2022-27254, das wirkt sich auf den Honda Civic LX aus, EX, EX-L, Reisen, und, und Typ R-Modelle hergestellt zwischen 2016 und 2020.
CVE-2022-27254 im Remote Keyless System von Honda und Acura
Laut NVDs Beschreibung der Sicherheitslücke, das ferngesteuerte schlüssellose System des Honda Civic 2018 Fahrzeuge sendet das gleiche HF-Signal für jede Türöffnungsanforderung, ermöglicht den sogenannten Replay-Angriff.
Die Offenlegung der Schwachstelle wurde Ayyappan Rajesh zugeschrieben, ein Student an der UMass Dartmouth, und Blakeberry, bekannt als HackingIntoYourHeart.
Laut ihrem GitHub-Schreiben, der auf CVE-2022-27254 basierende Angriff scheint JEDES Honda/Acura-Fahrzeug mit Fern- oder drahtlosem Funkzugang zu betreffen. „Honda führt KEIN Rolling-Code-System ein und stellt NUR Systeme mit statischen Codes her, was bedeutet, dass es KEINE Sicherheitsebene gibt,“Sagten die Forscher.
Der Angriff ermöglicht es einem Hacker, „vollständigen und unbegrenzten Zugriff auf das Sperren zu erhalten, Entriegelung, Steuerung der Fenster, Öffnen des Kofferraums, und Starten des Motors des Zielfahrzeugs.“ Die einzige Möglichkeit, den Angriff zu verhindern, besteht darin, entweder niemals Ihren Schlüsselanhänger zu verwenden oder, nachdem er kompromittiert wurde (was schwer festzustellen wäre), Setzen Sie Ihre Fernbedienung bei einem Händler zurück.
Wie kann ein Angriff ausgelöst werden?
Es muss lediglich das vom sogenannten Schlüsselanhänger gesendete Signal erfasst werden. Ein Schlüsselanhänger ist eine kleine Fernbedienung für ein schlüsselloses Zugangssystem.
„Wenn die Zielperson ihr Fahrzeug abschließt, Alles, was ich brauche, ist, es zu empfangen und aufzubewahren, damit ich denselben Befehl wiedergeben und das Fahrzeug entsprechend reagieren kann,“Sagten die Forscher.
Wie haben die Fahrzeughersteller reagiert??
Wie verlautet, Honda ignorierte den Schwachstellenbericht, mit null Sicherheitsmaßnahmen dagegen sehr einfach “wiedergeben/wiedergeben und bearbeiten” Angriff. „In diesem CVE wird interessanterweise nur ein Fahrzeug erwähnt, und das habe ich erst viel später bei meinen Recherchen entdeckt.“ Außerdem, Honda wird den Forschern nicht antworten, oder scheinbar jemand, der versucht, diese große Sicherheitslücke zu melden, entsprechend der GitHub-Post.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: