Un nuovo proof of concept (PoC) il codice mostra che gli aggressori possono bloccare da remoto, sbloccare, e avviare i veicoli Honda e Acura. Ciò è possibile a causa di una vulnerabilità nel sistema keyless remoto, CVE-2022-27254, che ha un impatto sulla Honda Civic LX, EX, EX-L, Touring, e, e modelli di tipo R prodotti tra 2016 e 2020.
CVE-2022-27254 nel sistema keyless remoto di Honda e Acura
Secondo la descrizione di NVD del difetto di sicurezza, il sistema keyless remoto su Honda Civic 2018 i veicoli inviano lo stesso segnale RF per ogni richiesta di apertura della porta, consentendo il cosiddetto replay attack.
La divulgazione della vulnerabilità è stata attribuita ad Ayyappan Rajesh, uno studente presso UMass Dartmouth, e Blake Berry, noto come HackingIntoYourHeart.
Secondo il loro articolo su GitHub, l'attacco basato su CVE-2022-27254 sembra colpire OGNI veicolo Honda/Acura con ingresso radio remoto o wireless. “Honda NON istituisce mai un sistema a codice variabile e produce SOLO sistemi con codici statici, il che significa che NON esiste alcun livello di sicurezza,”I ricercatori hanno detto.
L'attacco consente a un hacker di ottenere "l'accesso completo e illimitato al blocco, sblocco, controllare le finestre, aprendo il bagagliaio, e avviare il motore del veicolo bersaglio. L'unico modo per prevenire l'attacco è non usare mai il telecomando o, dopo essere stato compromesso (che sarebbe difficile da stabilire), resettare il tuo telecomando presso una concessionaria.
Come può essere attivato un attacco?
L'unica cosa necessaria è catturare il segnale inviato dal cosiddetto portachiavi. Un portachiavi è un piccolo dispositivo di controllo remoto per un sistema di accesso remoto senza chiave.
«Se il bersaglio blocca il suo veicolo, tutto ciò che serve è riceverlo e salvarlo per farmi acquisire la possibilità di ripetere lo stesso comando e fare in modo che il veicolo risponda di conseguenza,”I ricercatori hanno detto.
Come hanno risposto i produttori di veicoli?
Secondo quanto riferito, Honda ha ignorato il rapporto sulla vulnerabilità, con zero misure di sicurezza contro questo molto semplice “riproduci/riproduci e modifica” attacco. "Questo CVE cita in modo interessante solo un veicolo e l'ho scoperto solo molto più tardi nella mia ricerca per la ricerca." Inoltre, Honda non risponderà ai ricercatori, o apparentemente chiunque tenti di segnalare questa grave vulnerabilità di sicurezza, secondo Post di GitHub.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: