Prawica

Badacze bezpieczeństwa i Rob Stumpf z The Drive niedawno opublikował filmy o sobie odblokowywanie i zdalne uruchamianie kilku pojazdów Hondy za pomocą przenośnych radiotelefonów, pomimo nalegań firmy, aby samochody miały zabezpieczenia, które mają powstrzymać napastników przed zrobieniem tego. Według naukowców włamanie to jest możliwe dzięki luce w systemie dostępu bezkluczykowego w wielu Hondach wyprodukowanych w latach 2012-2022. Lukę tę nazwali Rolling-PWN. Podstawowa koncepcja Rolling-PWN jest podobna do ataków, które widzieliśmy wcześniej, przeciwko VW i Tesla, a także innym urządzeniom; za pomocą sprzętu radiowego ktoś nagrywa prawidłowy sygnał radiowy z breloczka, a następnie przesyła go z powrotem do samochodu. Nazywa się to atakiem powtórkowym i jeśli myślisz, że powinna być możliwa obrona przed tego rodzaju atakiem za pomocą pewnego rodzaju kryptografii, masz rację. Teoretycznie wiele nowoczesnych samochodów używa tak zwanego systemu toczenia kluczyka, co w zasadzie sprawia, że ​​każdy sygnał zadziała tylko raz; naciskasz przycisk, aby odblokować samochód, samochód odblokowuje się, a dokładny sygnał nie powinien już nigdy więcej odblokowywać samochodu. Ale jak wskazuje Jalopnik, nie każda nowa Honda ma taki poziom ochrony. Naukowcy odkryli również luki w zabezpieczeniach, w których zaskakująco najnowsze Hondy (w szczególności modele Civic 2016-2020) zamiast tego używały niezaszyfrowanego sygnału, który się nie zmienia. Honda twierdzi, że nawet ci, którzy mają systemy z ruchomym kodem – w tym CR-V 2020, Accord i Odyssey – mogą być podatni na niedawno odkryty atak. Strona internetowa Rolling-PWN zawiera filmy przedstawiające włamanie, które zostało użyte do odblokowania tych pojazdów z kodem ruchomym, a Stumpf był w stanie… no cóż, prawie złamać Accord 2021 za pomocą exploita, zdalnie włączając jego silnik, a następnie go odblokować. Honda powiedziała The Drive, że systemy bezpieczeństwa, które umieszcza w swoich brelokach i samochodach „nie pozwolą na uruchomienie luki przedstawionej w raporcie”. Innymi słowy, firma twierdzi, że atak nie powinien być możliwy — ale najwyraźniej jest jakoś. Poprosiliśmy firmę o komentarz do demonstracji The Drive, która została opublikowana w poniedziałek, ale nie odpowiedziała od razu. Według serwisu Rolling-PWN atak działa, ponieważ jest w stanie zresynchronizować licznik kodów samochodu, co oznacza, że ​​zaakceptuje stare kody — w zasadzie dlatego, że system ma pewne tolerancje (więc można użyć nawet bezkluczykowego dostępu). jeśli przycisk zostanie naciśnięty raz lub dwa razy, gdy jesteś z dala od samochodu, a samochód i pilot pozostaną zsynchronizowane), jego system bezpieczeństwa może zostać zniszczony. Witryna twierdzi również, że dotyczy to „wszystkich pojazdów Hondy dostępnych obecnie na rynku”, ale przyznaje, że w rzeczywistości był testowany tylko na kilku modelowych latach. Co jeszcze bardziej niepokojące, witryna sugeruje, że dotyczy to również innych marek samochodów, ale nie podaje szczegółów. Chociaż to sprawia, że ​​nerwowo spoglądam na mojego Forda, w rzeczywistości jest to prawdopodobnie dobra rzecz — jeśli badacze bezpieczeństwa postępują zgodnie ze standardowymi procedurami odpowiedzialnego ujawniania, powinni skontaktować się z producentami samochodów i dać im szansę rozwiązania problemu, zanim szczegóły zostaną ujawnione. Według Jalopnika badacze skontaktowali się z Hondą, ale polecono im złożyć raport w obsłudze klienta (co nie jest tak naprawdę standardową praktyką bezpieczeństwa).