Kasım 16, 2024

PoderyGloria

Podery Gloria'da Türkiye'den ve dünyadan siyaset, iş dünyası

Honda, bilgisayar korsanlarının Civic’i kilitlemesine, kilidini açmasına ve başlatmasına izin veren güvenlik açığını küçümsüyor

Honda, bilgisayar korsanlarının Civic’i kilitlemesine, kilidini açmasına ve başlatmasına izin veren güvenlik açığını küçümsüyor

Honda, Massachusetts Üniversitesi’nden araştırmacıların ve siber güvenlik firması Cybereason’ın bir konsept kanıtı yayınlamasının ardından eski arabalarını güncelleme planının olmadığını söyledi. CVE-2022-27254 – 2016 ve 2020 yılları arasında Honda Civics’te Uzaktan Anahtarsız sistemini etkileyen yeniden başlatma güvenlik açığı.

UMass Dartmouth profesörleri Ruolin Zhou ve Hong Liu, Cybereason Baş Güvenlik Görevlisi Sam Curry ve bilgisayar bilimcisi Blake Berry ile birlikte çalıştı. GitHub’da sorunun ayrıntılı bir dökümübirçok Honda’daki anahtarsız uzaktan kumanda sisteminin her kapı açma, kapı kapatma, bagaj açma ve uzaktan çalıştırma komutu için aynı şifrelenmemiş RF sinyalini gönderdiğini gösteren birden fazla video paylaşıyor.

Araştırmacılar, “Bu, saldırganın isteği dinlemesine ve bir tekrar saldırısı gerçekleştirmesine izin veriyor” dedi.

Araştırmacılar, Honda Civic LX, EX, EX-L, Touring, Si ve Type R modellerinin sorundan etkilendiğini söyledi. HackRF One SDR, bir dizüstü bilgisayar, FCCID.io’da bir hesap, Gqrx Yazılım Tanımlı Radyo Alıcısı yazılımına erişim ve GNURadio Geliştirme Kiti dahil olmak üzere yaygın olarak bulunan çeşitli araçları kullandılar.

Araç sahibi kontak anahtarını kullandığında ve gönderdiği sinyali kaydettiğinde bilgisayar korsanının yakınlarda olması yeterlidir. Kaydedildikten sonra, aracın kilidini açmak veya çalıştırmak için kullanılabilir.

Araştırmacılar uzun süredir bu tür saldırılar konusunda uyarıyorlar ve Diğer benzer zayıflıklar Geçmişte vurgulandı. CVE-2022-27254 için NIST sayfası, sorunu şuna bağlar: CVE-2019-20626benzer bir güvenlik açığı 2017 Honda HR-V araçlarını etkiler.

Araştırmacılar, üreticilerin navigasyon kodları olarak da bilinen yuvarlanan kodları uygulaması gerektiğini söyledi.

“Uzaktan Anahtarsız Giriş (RKE) veya Pasif Anahtarsız Giriş (PKE) sisteminin her kimlik doğrulaması için yeni bir belirteç sağlamak için yaygın olarak kullanılan bir güvenlik teknolojisidir” diyen araştırmacılar, tüketicileri onlar için bir sinyal engelleyici Faraday çantası kullanmaya çağırdı. . anahtarlık

READ  Samsung, Şubat 2022 Unpacked etkinliğini onayladı, Note serisi ekleme ipuçları

“RKE yerine PKE kullanın, bu, bir saldırganın ihtiyaç duyacağı yakınlık göz önüne alındığında sinyali klonlamasını/okumasını zorlaştıracaktır.”

Önlemlerin kusursuz olmadığını ve herhangi biri saldırının kurbanı olmuşsa, tek hafifletmenin proxy’deki güç anahtarını sıfırlamak olduğunu kaydetti. Araştırmacılar, güvenlik açığının vahşi doğada istismar edildiğine dair bir kanıt olmadığını söyledi, ancak The Record bunu bağımsız olarak doğrulayamadı.

Yeni bir keşif değil

Honda sözcüsü Chris Martin, konuyla ilgili The Record ile temasa geçtiğinde, bunun “yeni bir keşif olmadığını” ve “daha fazla raporu hak etmediğini” iddia etti.

Martin, “birçok otomobil üreticisi tarafından kullanılan eski teknolojinin” “kararlı ve teknik açıdan son derece sofistike hırsızlara” karşı savunmasız olabileceğini vurguladı.

Honda, araştırmacılar tarafından bildirilen bilgileri doğrulamadı ve araçlarının bu tür saldırılara karşı savunmasız olup olmadığını doğrulayamıyor. Martin, “Honda’nın şu anda eski arabaları güncelleme planı yok” dedi.

“Honda, yeni modellerin piyasaya sürülmesiyle güvenlik özelliklerini düzenli olarak iyileştirirken, kararlı ve teknolojik olarak gelişmiş hırsızların da bu özelliklerin üstesinden gelmek için çalıştığını belirtmek önemlidir. Ayrıca, başka bir sürüş yöntemi olmadan bir araca erişime sahip olmak, doğası gereği yüksek olmakla birlikte. Hırsızlara bir araca binmenin geleneksel ve kesinlikle daha kolay yollarından çok daha büyük bir avantaj sağlamıyor. Söz konusu cihazın tipinin geniş çapta kullanıldığına dair hiçbir belirti yok.”

Martin, The Record’a Acura ve Honda arabaları uzaktan çalıştırılırsa, arabalarında ayrı bir immobilizer çipi olan geçerli bir kontak anahtarı olana kadar arabalarının sürülemeyeceğini söyledi. “Kapı kilitlerinde bildirilen zayıflığın Acura veya Honda kullanma becerisiyle sonuçlandığına dair hiçbir belirti yok” diye ekledi.

Vulcan Cyber’in baş teknik mühendisi Mike Barkin, yuvarlanan kodların kısmen küçük araba saldırılarına karşı savunmasız olan bir dizi kapı açıcı ile başa çıkmak için geliştirildiğini söyledi.

READ  Microsoft, Windows 10 21H1'i "küçük" bir yükseltme olarak bağlayarak geçmişini paraya çevirdi

Barkin, “Sürpriz olan, herhangi bir büyük üreticinin güvenli olmayan bir uzaktan kilit açma sistemi uygulayacak olmasıdır. Mevcut uzaktan kumandalara karşı, bazıları kavram kanıtı şeklinde gösterilen birçok teorik saldırı var,” dedi.

Bu, eski uzaktan kumandalara yönelik mevcut saldırılara ektir. Zorluk, Honda’nın bu sorunla nasıl başa çıktığıdır, çünkü fiziksel anahtarlık ve bu tür bir donanım yazılımı yükseltmesi için asla tasarlanmamış arabalar için basit bir yazılım düzeltmesi yoktur – eğer yazılım yamalanabilirse.”

Cerberus Sentinel’den Chris Clements gibi diğer uzmanlar, saldırının güvenlik araştırmacısı Samy Kamkar’ın söylediği “rolljam” hatasından daha kötü olduğunu söyledi. 2015 yılında popüler olarak gösterildi.

Bu son güvenlik açığı, bilgisayar korsanlarına belirli araç işlevlerini kontrol etmek için sınırsız erişim sağlar.

Clements ayrıca Honda’nın güvenlik açığına verdiği yanıtı da ele aldı ve üreticilerin tamamen işlevsel makinelerde güvenlik sorunlarını yamalamayı bırakmasının “büyük bir sorun olacağını” belirtti.

Clements, “Bu, kimsenin dinlemeyeceğini umarak bir odada şifrenizi bağırmak gibidir. Evet, birinin onu duyacak kadar yakın olması ve sonra onunla ne yapacağını bilmesi gerekir, ancak bundan sonra bundan yararlanmak çok kolay” dedi.

“Giderek daha fazla cihaz ‘akıllı’ işlevsellik ekledikçe, bu cihazları veya verileri riske atan güvenlik açıklarının keşfedilmesi kaçınılmazdır. Kullanılabilir bir yama yoksa veya daha da kötüsü yama mekanizması yoksa, kullanıcıların bu cihazları veya verileri riske atıp atmayacaklarını seçmeleri gerekecektir. İkisi de ideal bir durum olmayan savunmasız bir cihazı kullanmak veya ondan kurtulmak.”

Jonathan 2014’ten beri dünya çapında bir gazeteci olarak çalışıyor. New York’a dönmeden önce Güney Afrika, Ürdün ve Kamboçya’da çalıştı.