Хакерите обичат да се хвалят из мрежата с постиженията си и неслучайно точно по този начин попадат в ръцете на съответните власти. Но този път ситуацията озадачи всички, защото групировката съобщи, че е открила начин да отключва и стартира почти всички модерни превозни средства с марката Honda чрез безжична кражба на кодове от ключодържателя на собственика. Атаката с кодово име Rolling Pwn позволява на всеки човек да „подслушва“ дистанционен ключодържател от близо 30 метра разстояние и да го използва повторно по-късно, за да отключи или запали превозно средство в бъдеще без знанието на собственика.
Разбира се, Honda заяви, че технологията в нейните ключодържатели „няма да позволи уязвимостта“. Но тест на принципа проба-грешка от The Drive потвърди валидността на атаката със собствена демонстрация.
По-старите превозни средства използват статични кодове за безключов достъп. Тези статични кодове по своята същност са уязвими, тъй като всеки индивид може да ги улови и повтори по желание, за да заключи и отключи превозно средство. По-късно производителите въведоха подвижни кодове, за да подобрят сигурността на автомобила. Подвижните кодове работят с помощта на генератор на псевдослучайни числа (PRNG). Когато се натисне бутон за заключване или отключване на сдвоен ключодържател, той изпраща безжично уникален код до автомобила, капсулиран в съобщението. След това превозното средство проверява изпратения до него код спрямо вътрешната си база данни с валидни кодове, генерирани от PRNG, и ако кодът е валиден, автомобилът дава заявка за заключване, отключване или стартиране на автомобила.
Базата данни съдържа няколко разрешени кода, тъй като ключодържателят може да не е в обхвата на превозното средство, когато се натисне бутон, и може да предава код, различен от този, който превозното средство очаква да бъде следващото хронологично. Тази поредица от кодове е известна още като „прозорец“. Когато превозното средство получи по-нов код, то обикновено анулира всички предишни кодове, за да се предпази от повторни атаки.
Но Rolling Pwn разчита на „сдвоен ключодържател“, който улавя част от кодовете. Нападателят може по-късно да възпроизведе поредица от валидни кодове и да синхронизира отново PRNG. Това позволява на атакуващия да използва повторно по-стари кодове, които обикновено биха били невалидни дори месеци след като кодовете са били уловени.
Понастоящем следните превозни средства може да бъдат засегнати от уязвимостта:
2012 Honda Civic
2018 Honda X-RV
2020 Honda C-RV
2020 Honda Accord
2021 Honda Accord
2020 Honda Odyssey
2021 Honda Inspire
2022 Honda Fit
2022 Honda Civic
2022 Honda VE-1
2022 Honda Breeze
Все още не е ясно дали проблемът може да се реши със софтуерна актуализация, дали ще се изисква посещение на дилър или дали Honda ще се справи с него.
Снимки: Unsplash
Виж още: Подгряването на седалките на BMW струва 18 долара на месец (ВИДЕО)