Savunmasız bir Honda anahtarlığı kullanarak radyo tekrar saldırısını gösteren bilgisayar korsanları. Honda, saldırının “inanılır” olup olmadığını belirleyemeyeceğini söyledi. Resim Kredisi: Yıldız-V Laboratuvarı
Güvenlik araştırmacıları, Honda’nın anahtarsız giriş sisteminde, bilgisayar korsanlarının potansiyel olarak “şu anda piyasada bulunan tüm Honda araçlarını” uzaktan açmasına ve başlatmasına izin verebilecek bir güvenlik açığı ortaya çıkardı.
“Rolling-PwnStar-V Lab güvenlik araştırmacıları tarafından ortaya çıkarılan saldırı Kevin2600 ve Wesley Li, Honda’nın anahtarsız giriş sisteminin araba ile anahtarlık arasında kimlik doğrulama kodlarını iletme şeklindeki bir güvenlik açığından yararlanıyor. Bazı Tesla araçlarını etkileyen, yakın zamanda keşfedilen Bluetooth yeniden oynatma saldırısına benzer şekilde çalışır; Araştırmacılar, kolayca satın alınabilen radyo ekipmanlarını kullanarak, gizlice dinlemeyi ve kodları ele geçirmeyi başardılar, ardından erişim sağlamak için onları arabaya geri gönderdiler.
Bu, araştırmacıların, 2012 ve 2022’ye kadar olan modelleri içeren güvenlik açığından etkilenen otomobillerin motorlarının uzaktan kilidini açmasına ve çalıştırmasına izin verdi. SürüşHonda Accord 2021’deki güvenlik açığını bağımsız olarak test eden ve doğrulayan anahtarlık hatası, bir saldırganın araçla uzaklaşmasına izin vermiyor.
Olarak araştırmacılar tarafından not edildi, bu tür bir saldırı, aracın yuvarlanan kodlar mekanizması tarafından önlenmelidir – uzaktan anahtarsız girişin her kimlik doğrulaması için yeni bir kod sağlayarak tekrar saldırılarını önlemek için tanıtılan bir sistem. Araçlarda, üretilen kodların kronolojisini kontrol eden ve yeni bir kod aldığında sayımı artıran bir sayaç bulunur.
Kevin2600 ve Wesley Li, otomobil aracı ardışık bir sırayla kilitleme ve kilit açma komutlarını aldığında, Honda araçlarındaki sayacın yeniden senkronize olduğunu ve aracın geçersiz olması gereken önceki oturumlardan kodları kabul etmesine neden olduğunu buldu.
“Komutları arka arkaya Honda araçlarına göndererek sayacı yeniden senkronize edecek” diye yazıyor araştırmacılar. “Sayaç yeniden senkronize edildiğinde, sayacın önceki döngüsünden gelen komutlar yeniden çalıştı. Bu nedenle, bu komutlar daha sonra arabanın kilidini istediğiniz zaman açmak için kullanılabilir.”
Araştırmacılar, saldırılarını Honda Civic 2012, Honda Accord 2020 ve Honda Fit 2022 de dahil olmak üzere birkaç Honda modeli üzerinde test ettiklerini söylüyorlar, ancak güvenlik açığının “şu anda piyasada bulunan tüm Honda araçlarını” etkileyebileceği ve diğerlerini de etkileyebileceği konusunda uyarıyorlar. üreticilerin arabaları.
Güvenlik araştırmacıları, güvenlik açığı hakkında Honda ile iletişime geçmeye çalıştıklarını, ancak şirketin “ürünleri için güvenlikle ilgili sorunlarla ilgilenen bir departmanı olmadığını” keşfettiklerini söylediler. Bu nedenle, sorunu Honda müşteri hizmetlerine bildirdiler ancak henüz bir yanıt alamadılar.
TechCrunch ayrıca Honda’dan bir yanıt almadı, ancak bir açıklamada Sürüşşirket, anahtarlıklarındaki teknolojinin “raporda gösterildiği gibi güvenlik açığına izin vermeyeceğinde” ısrar etti.
Bir Honda sözcüsü, “Geçmişteki benzer iddiaları inceledik ve bunların temelsiz olduğunu gördük” dedi. “Bu raporun güvenilir olup olmadığını belirlemek için henüz yeterli bilgiye sahip olmasak da, referans alınan araçlardaki anahtarlıklar, raporda gösterildiği gibi güvenlik açığına izin vermeyecek yuvarlanan kod teknolojisi ile donatılmıştır. Ayrıca, haddeleme kodunun bulunmadığına dair kanıt olarak sunulan videolar, iddiaları destekleyecek yeterli kanıt içermiyor.”
Güvenlik araştırmacıları tarafından belirtildiği gibi, Honda kusuru kabul ederse, eski araçların kablosuz (OTA) güncellemelerini desteklememesi nedeniyle düzeltmek zor olurdu. Endişe verici bir şekilde, araştırmacılar ayrıca, hack’e karşı korunmanın ve başınıza gelip gelmediğini belirlemenin bir yolu olmadığı konusunda uyardılar.