Uma nova prova de conceito (PoC) código mostra que os invasores podem bloquear remotamente, desbloqueio, e iniciar veículos Honda e Acura. Isso é possível devido a uma vulnerabilidade no sistema remoto sem chave, CVE-2022-27254, que afeta o Honda Civic LX, EX, EX-L, Turismo, E, e modelos Tipo R fabricados entre 2016 e 2020.
CVE-2022-27254 no sistema remoto sem chave da Honda e Acura
De acordo com a descrição do NVD da falha de segurança, o sistema remoto sem chave no Honda Civic 2018 veículos envia o mesmo sinal RF para cada solicitação de porta aberta, permitindo o chamado ataque de repetição.
A divulgação da vulnerabilidade foi atribuída a Ayyappan Rajesh, um estudante na UMass Dartmouth, e Blake Berry, conhecido como HackingIntoYourHeart.
De acordo com o artigo do GitHub, o ataque baseado no CVE-2022-27254 parece afetar TODOS os veículos Honda/Acura com entrada de rádio remota ou sem fio. “A Honda NUNCA institui um sistema de código rolante e fabrica SOMENTE sistemas com códigos estáticos, o que significa que NÃO há camada de segurança,”Disseram os pesquisadores.
O ataque possibilita que um hacker obtenha “acesso completo e ilimitado a, desbloqueio, controlando as janelas, abrindo o porta-malas, e ligar o motor do veículo alvo.” A única maneira de evitar o ataque é nunca usar seu fob ou, depois de comprometido (que seria difícil de estabelecer), redefinindo seu fob em uma concessionária.
Como um ataque pode ser desencadeado?
A única coisa necessária é capturar o sinal enviado do chamado chaveiro. Um chaveiro é um pequeno dispositivo de controle remoto para um sistema de entrada sem chave remoto.
“Se o alvo trancar seu veículo, tudo o que preciso é recebê-lo e salvá-lo para eu ganhar a capacidade de repetir o mesmo comando e fazer com que o veículo responda de acordo,”Disseram os pesquisadores.
Como os fabricantes de veículos responderam?
Alegadamente, Honda ignorou o relatório de vulnerabilidade, com zero medidas de segurança contra este muito simples “reproduzir/repetir e editar” ataque. “Este CVE, curiosamente, cita apenas um veículo e só descobri isso muito mais tarde em minha busca pela pesquisa.” além disso, Honda não responderá aos pesquisadores, ou aparentemente alguém tentando relatar esta grande vulnerabilidade de segurança, de acordo com Postagem do GitHub.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: