Một bộ đôi các nhà nghiên cứu đã phát hành một bằng chứng khái niệm (PoC) chứng minh khả năng cho một kẻ độc hại khóa, mở khóa từ xa và thậm chí khởi động xe honda và Acura bằng cách gọi là một cuộc tấn công phát lại.
Cuộc tấn công có thể thực hiện được nhờ vào lỗ hổng trong hệ thống không cần chìa khóa từ xa (CVE-2022-27254) ảnh hưởng đến các mẫu Honda Civic LX, EX, EX-L, Touring, Si và Type R được sản xuất từ năm 2016 đến năm 2020. Được công nhận với phát hiện ra vấn đề là Ayyappan Rajesh, một sinh viên tại UMass Dartmouth, và Blake Berry (HackingIntoYourHeart).
“Một hacker có thể có quyền truy cập hoàn toàn và không giới hạn để khóa, mở khóa, kiểm soát cửa sổ, mở cốp xe và khởi động động cơ của phương tiện mục tiêu, trong đó cách duy nhất để ngăn chặn cuộc tấn công là không bao giờ sử dụng fob của bạn hoặc sau khi bị xâm nhập (điều này sẽ khó nhận ra), đặt lại fob của bạn tại một đại lý, “Berry giải thích trong một bài đăng trên GitHub.
Vấn đề cơ bản là chìa khóa điều khiển từ xa trên các xe Honda bị ảnh hưởng truyền tín hiệu tần số vô tuyến tương tự, không được mã hóa (433.215MHz) tới xe, cho phép đối thủ chặn và phát lại yêu cầu khởi động động cơ không dây sau đó một cách hiệu quả. cũng như khóa và mở khóa cửa.
Đây không phải là lần đầu tiên một sai sót kiểu này được phát hiện trên xe Honda. Berry cáo buộc một vấn đề liên quan được phát hiện trên mẫu Honda HR-V 2017 (CVE-2019-20626, điểm CVSS: 6,5) được cho là “dường như đã bị phớt lờ” bởi công ty Nhật Bản.
Rajesh nói: “Các nhà sản xuất phải triển khai Rolling Codes, hay còn gọi là mã nhảy. “Đây là công nghệ bảo mật thường được sử dụng để cung cấp mã mới cho mỗi lần xác thực của hệ thống nhập không khóa từ xa (RKE) hoặc hệ thống nhập không khóa thụ động (PKE).”
Chúng tôi đã yêu cầu Honda đưa ra bình luận và chúng tôi sẽ cập nhật câu chuyện sau khi có phản hồi.
.
