Vulnerabilidad del sistema remoto sin llave de vehículos Honda

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores han demostrado cómo explotar una vulnerabilidad grave en el sistema remoto sin llave de Honda que pone en riesgo la seguridad de numerosos vehículos.

Específicamente, explotar este error permite que un adversario bloquee, desbloquee o incluso arranque cualquier Honda Civic.

Al compartir los detalles en una publicación de GitHub, los investigadores Ayyappan Rajesh y HackingIntoYourHeart explicaron cómo podían controlar varios vehículos sin los respectivos controles remotos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es posible debido a una vulnerabilidad en la forma en que el sistema de entrada remota sin llave (RKE) de Honda se comunica con vehículos separados.

Como se explicó, el sistema envía las mismas señales de RF a cada vehículo con el que interactúa, eso también, sin cifrar. Por lo tanto, un adversario que intercepte puede explotar esta falla para apuntar a cualquier vehículo deseado a través de ataques de repetición.

"El sistema remoto sin llave en varios vehículos Honda envía la misma señal de RF sin cifrar para cada apertura de puerta, cierre de puerta, apertura de maletero y arranque remoto (si corresponde). Esto permite que un atacante escuche a escondidas la solicitud y la realice"

Para probar el exploit, los investigadores utilizaron algunas herramientas simples, incluidas No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, HackRF One, Gqrx y GNURadio. Luego, podrían bloquear o desbloquear un automóvil objetivo, o controlar el motor de forma remota utilizando la misma secuencia.

Los investigadores han compartido videos separados como prueba de concepto en su publicación de GitHub, demostrando estos ataques.

Como se indicó, este error (CVE-2022-27254) afecta a todos los modelos Honda Civic (LX, EX, EX-L, Touring, Si, Type R) 2016-2020.

Mitigaciones recomendadas

Irónicamente, varias fuentes de medios han citado a Honda expresando que no tiene planes para abordar esta falla en los modelos más antiguos.

Como dijo Chris Martin, vocero de Honda:

"Honda no ha verificado la información reportada por los investigadores y no puede confirmar si sus vehículos son vulnerables a este tipo de ataque. Honda no tiene planes de actualizar vehículos más antiguos en este momento."

Los investigadores han compartido algunas estrategias de mitigación para abordar este problema.

Brevemente, aconsejan a los fabricantes que implementen "códigos de espera" (códigos diferentes para cada autenticación). Considerando que, sugieren a los usuarios que usen una bolsa de Faraday para el llavero, o adopten el sistema de entrada pasiva sin llave (PKE), en lugar del RKE.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta