Jeździsz Hondą? Wystarczy 48 znaków, żeby otworzyć to auto

W serwisie GitHub pojawiła się nietypowa instrukcja otwierania samochodów marki Honda. Wystarczy przechwycenie sygnału wysyłanego przez pilota i... gotowe. To nie pierwsza tego typu sytuacja, ale dotychczas sądzono, że problem dotyczył tylko jednego modelu japońskiej marki.

Podobno problem dotyczy wszystkich samochodów marki Honda otwieranych bezprzewodowym pilotem
Podobno problem dotyczy wszystkich samochodów marki Honda otwieranych bezprzewodowym pilotem
Źródło zdjęć: © Gado via Getty Images | Smith Collection/Gado
Arkadiusz Stando

08.09.2021 18:36

Autor wpisu w serwisie GitHub opublikował krótkie wideo, przedstawiające możliwości opisywanej przez niego sztuczki. Haker wykorzystał tzw. replay-based attack, czyli metodę kilkukrotnego lub opóźnionego wysyłania poprawnych danych - podaje Sekurak. Autor uważa, że ten sam sposób ataku można wykorzystać przeciwko wszystkim modelom Hondy i Acury, które posiadają wadliwą funkcję. Dotyczy to prawdopodobnie większości nowocześniejszych aut.

Jak twierdzi, stosując jego metodę, można uzyskać pełny i nieograniczony dostęp do zamykania i otwierania samochodu a także szyb, uruchamiania silnika czy otwierania bagażnika. W praktyce kradzież samochodu okazuje się banalnie prosta. Polega to na tym, że bezprzewodowy kluczyk za każdym razem wysyła ten sam sygnał radiowy dla każdego żądania otwarcia drzwi. Wystarczy go przechwycić i wypróbować z innego urządzenia, tak jak pokazał to autor nagrania.

Przykładowo, aby zamknąć samochód, wysyłał komendę: 653-656, 667-668, 677-680, 683-684, 823-826, 837-838, 847-850, 853-854.

Autor zauważa, że koncern zdaje sobie sprawę z luki już od dawna. Została opisana jeszcze w 2019 roku (CVE-2019-20626), jednak nadal nie wprowadzono żadnej poprawki. Co więcej, wówczas stwierdzono, że dotyczy ona jedynie modelu Honda HR-V 2017. Oficjalnie skuteczność tego ataku nie została potwierdzona, ale nagranie i opisywana wcześniej luka rozwiewa wątpliwości.

Badacz twierdzi, że Honda nie odpowiedziała na jego wezwania, dlatego postanowił opublikować metodę otwierania samochodów w sieci.

Obecnie autor potwierdził działanie luki w tych modelach Hondy:

  • 2009 Acura TSX
  • 2016 Honda Accord V6 Touring Sedan
  • 2017 Honda HR-V (CVE-2019-20626)
  • 2018 Honda Civic Hatchback
  • 2020 Honda Civic LX

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (15)