Honda’s Keyless Access-bug kan dieven op afstand voertuigen laten ontgrendelen en starten

Een duo van onderzoekers heeft een proof-of-concept (PoC) uitgebracht die het vermogen aantoont van een kwaadwillende actor om Honda- en Acura-voertuigen op afstand te vergrendelen, ontgrendelen en zelfs te starten door middel van een zogenaamde replay-aanval.

De aanval wordt mogelijk gemaakt dankzij een kwetsbaarheid in het remote keyless-systeem (CVE-2022-27254) die van invloed is op Honda Civic LX-, EX-, EX-L-, Touring-, Si- en Type R-modellen die tussen 2016 en 2020 zijn geproduceerd. Ayyappan Rajesh, een student aan UMass Dartmouth, en Blake Berry (HackingIntoYourHeart) hebben de eer om het probleem te ontdekken.

„Een hacker kan volledige en onbeperkte toegang krijgen tot het vergrendelen, ontgrendelen, bedienen van de ramen, het openen van de kofferbak en het starten van de motor van het doelvoertuig, waarbij de enige manier om de aanval te voorkomen is om ofwel nooit je fob te gebruiken of, nadat hij is gecompromitteerd (wat moeilijk te realiseren zou zijn), je fob resetten bij een dealer,“ Berry uitgelegd in een GitHub-bericht.

Het onderliggende probleem is dat de afstandsbediening van de betrokken Honda-voertuigen hetzelfde, niet-versleutelde radiofrequentiesignaal (433,215 MHz) naar de auto zendt, waardoor een tegenstander het verzoek in feite kan onderscheppen en op een later tijdstip kan herhalen om de motor draadloos te starten als evenals het vergrendelen en ontgrendelen van de deuren.

Dit is niet de eerste keer dat een dergelijke fout wordt ontdekt in Honda-voertuigen. Een gerelateerd probleem ontdekt in Honda HR-V-modellen uit 2017 (CVE-2019-20626CVSS-score: 6.5) zou door het Japanse bedrijf „schijnbaar genegeerd“ zijn, beweerde Berry.

„Fabrikanten moeten implementeren“ Doorlopende codesook wel bekend als hopping-code,“ Rajesh zei. „Het is een beveiligingstechnologie die vaak wordt gebruikt om een ​​nieuwe code te verstrekken voor elke authenticatie van een remote keyless entry (RKE) of passief keyless entry (PKE) systeem.“

We hebben Honda om commentaar gevraagd en we zullen het verhaal updaten zodra we iets horen.

David
Rate author
Hackarizona