Une nouvelle preuve de concept (PoC) code montre que les attaquants peuvent verrouiller à distance, ouvrir, et démarrer les véhicules Honda et Acura. Ceci est possible en raison d'une vulnérabilité dans le système sans clé à distance, CVE-2022-27254, qui impacte la Honda Civic LX, EX, EX-L, Tournée, et, et les modèles de type R fabriqués entre 2016 et 2020.
CVE-2022-27254 dans le système sans clé à distance de Honda et Acura
Selon la description de NVD de la faille de sécurité, le système sans clé à distance sur Honda Civic 2018 véhicules envoient le même signal RF pour chaque demande d'ouverture de porte, permettant la soi-disant attaque de rejeu.
La divulgation de la vulnérabilité a été attribuée à Ayyappan Rajesh, un étudiant à UMass Dartmouth, et Blake Berry, connu sous le nom de HackingIntoYourHeart.
Selon leur rédaction GitHub, l'attaque basée sur CVE-2022-27254 semble affecter TOUS les véhicules Honda/Acura avec entrée radio à distance ou sans fil. "Honda n'institue jamais un système de code tournant et fabrique UNIQUEMENT des systèmes avec des codes statiques, ce qui signifie qu'il n'y a AUCUNE couche de sécurité,» Les chercheurs.
L'attaque permet à un pirate d'obtenir "un accès complet et illimité au verrouillage, déverrouillage, contrôler les fenêtres, ouverture du coffre, et démarrer le moteur du véhicule cible. La seule façon d'empêcher l'attaque est de ne jamais utiliser votre porte-clés ou, après avoir été compromis (ce qui serait difficile à établir), réinitialiser votre porte-clés chez un concessionnaire.
Comment déclencher une attaque?
La seule chose nécessaire est de capturer le signal envoyé par le soi-disant porte-clés. Un porte-clés est un petit dispositif de télécommande pour un système d'entrée sans clé à distance.
"Si la cible verrouille son véhicule, tout ce qu'il faut, c'est le recevoir et le sauvegarder pour que je puisse rejouer la même commande et que le véhicule réponde en conséquence,» Les chercheurs.
Comment les constructeurs automobiles ont-ils réagi?
Aurait, Honda a ignoré le rapport de vulnérabilité, avec aucune mesure de sécurité contre ce très simple “rejouer/rejouer et éditer” attaque. « Il est intéressant de noter que ce CVE ne cite qu'un seul véhicule et je ne l'ai découvert que beaucoup plus tard dans ma poursuite de la recherche. en outre, Honda ne répondra pas aux chercheurs, ou apparemment toute personne tentant de signaler cette faille de sécurité majeure, selon le Message GitHub.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: