Honda ma kłopot - hakerzy zdalnie odpalają samochody

Raport specjalistów od zabezpieczeń pokazuje, jak hakerzy mogą odblokować i uruchomić samochody Hondy, nawet zdalnie.

11 lipca 2022 17:18

Honda ma kłopot - hakerzy zdalnie odpalają samochody.

Źródło fot. powyżej: oficjalna strona firmy Honda.

Spis treści:

Rolling-PWN – jak to działa?
Honda: to nic nowego

Luka bezpieczeństwa w systemach komputerowych samochodów firmy Honda może umożliwić hakerom ich zdalne uruchamianie. Tak twierdzi badacz pracujący dla firmy Star-V Lab znany w sieci pod pseudonimem Kevin26000, który wraz z Wesleyem Li opublikował raport na temat odkrytego problemu.

Tzw. Rolling-PWN (w bazie danych organizacji MITRE skatalogowany jako CVE-2021-46145) został wykryty w dziesięciu najpopularniejszych modelach Hondy z lat 2012-2022 (patrz ramka poniżej). Zdaniem badaczy oznacza to, że luka jest obecna we wszystkich samochodach producenta.

Modele samochodów sprawdzone pod kątem podatności Rolling-PWN: Honda Civic 2012, Honda XR-V 2018, Honda CR-V 2020, Honda Accord 2020, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, Honda Civic 2022, Honda VE-1 2022, Honda Breeze 2022.

Kevin26000 uważa wręcz, że Rolling-PWN może być obecne w samochodach innych firm, co potencjalnie potwierdza raport innych badaczy. Jak czytamy, około 70% aut różnych producentów z Azji jest podatnych na podobny atak.

Rolling-PWN – jak to działa?

Luka wykryta przez Kevin26000 i Wesleya Li wykorzystuje funkcję otwierania samochodu bez kluczyka (RKE). Od dawna wiadomo, że hakerzy mogą przechwycić sygnał i spróbować odblokować auto tak zdobytym kodem. Dlatego właśnie producenci implementują system tzw. „skaczących kodów” (ang. hopping codes albo też rolling codes).

Przy każdym zablokowaniu i odblokowaniu samochodu komputer generuje losowy kod wysyłany drogą radiową do pojazdu. Co ważne, system ma zabezpieczenie, które zapobiega ponownemu wykorzystaniu użytych wcześniej sekwencji. W teorii eliminuje to ryzyko otworzenia auta przez hakerów.

Jednakże Kevin26000 i Li odkryli sposób na obejście tego zabezpieczenia. Badaczom udało się cofnąć (ang. roll back, stąd nazwa luki) wykorzystane już kody, by można było użyć ich ponownie. Oczywiście nie podzielono się szczegółami, ale na oficjalnej stronie Rolling-PWN zamieszczono filmiki, w których pokazano skuteczność luki w praktyce.

Co gorsza, hakerzy nie muszą być tuż przy samochodzie, by obejść zabezpieczenia. Kevin26000 potwierdził w rozmowie z serwisem Vice, że atak można przeprowadzić z odległości trzydziestu metrów.

Honda: to nic nowego

Skuteczność Rolling-PWN potwierdził też m.in. dziennikarz Rob Stumpf. Na razie nikt nie przetestował tego rozwiązania z samochodami innych producentów niż Honda – a przynajmniej nikt jeszcze nie podzielił się rezultatem.

Z kolei Lorenzo Franceschi-Bicchierai z Vice dowiedział się od Hondy, jakoby owa luka był znana od dawna. Choć przyznano, że firma nie ma „wystarczających informacji, by ocenić te znaleziska”, przedstawiciel spółki wyraził nadzieję, iż dziennikarze potraktują to jako stare wieści i „zajmą się czymś aktualnym, zamiast kreować kolejnych ludzi myślących, że to coś nowego”.

Nie ma też raczej co liczyć na jej załatanie. Jeszcze w marcu, w kontekście wcześniej odkrytej luki, przedstawiciele firmy oświadczyli (via Bleeping Computer), że Honda nie zamierza „łatać” systemów bezpieczeństwa w starszych modelach samochodów.

Może Cię zainteresować:

Więcej:„Demonstracja siły”. Branża gier od Steama po Riot Games zmaga się z tajemniczą awarią. To zbyt duży zbieg okoliczności