Honda podatna na atak: niektóre auta można zdalnie otworzyć i odpalić

Na problem zwrócił uwagę serwis Niebezpiecznik, powołując się między innymi na potwierdzenie wadliwego algorytmu przez dziennikarza motoryzacyjnego Roba Stumpfa. Okazuje się, że niektóre samochody Honda da się otworzyć i uruchomić po częściowo "typowym" przechwyceniu komunikacji radiowej między pilotem i samochodem.

Opisywany problem bezpieczeństwa został już oznaczony symbolem CVE-2021-46145, a dotyczy nieskutecznego tu mechanizmu rolling code, stosowanego na różne sposoby w wielu systemach dostępu bezkluczykowego. Mechanizm ten w założeniu uodparnia komunikację między samochodem a kluczykiem właśnie na tego typu ataki.

Zauważono jednak, że w niektórych Hondach system jest wadliwy - odpowiednia sekwencja komend wysłana do samochodu zmusi pojazd do akceptowania kodów, które były wykorzystywane wcześniej. Te wystarczy więc uprzednio odczytać, a po zresetowaniu komunikacji ponownie wysłać do pojazdu. Auto powinno się wówczas otworzyć i dać uruchomić.

Jak podaje Niebezpiecznik, badacze sprawdzili wybrane modele samochodów Honda z lat 2012-2022 i we wszystkich przypadkach problem ten udało się potwierdzić. Podatne na atak są więc między innymi:

• Honda Civic 2012
• Honda X-RV 2018
• Honda C-RV 2020
• Honda Accord 2020
• Honda Odyssey 2020
• Honda Inspire 2021
• Honda Fit 2022
• Honda Civic 2022
• Honda VE-1 2022
• Honda Breeze 2022

Co ciekawe, sprawa została już skomentowana przez Hondę. Firma twierdzi, że prezentowane przykłady obejmują kluczyki bez mechanizmu rolling code, sugerując tym samym, że problem nie istnieje, a odkrywcy podatności nie mają dostatecznej wiedzy. Zdaniem Hondy samochody są więc bezpieczne, mimo że na GitHubie pojawiły się odpowiednie źródła pozwalające znawcom na (skuteczny - jak pokazują inne źródła) atak na samochody.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl