Honda, Massachusetts Üniversitesi’nden araştırmacıların ve siber güvenlik firması Cybereason’ın bir konsept kanıtı yayınlamasının ardından eski arabalarını güncelleme planının olmadığını söyledi. CVE-2022-27254 – 2016 ve 2020 yılları arasında Honda Civics’te Uzaktan Anahtarsız sistemini etkileyen yeniden başlatma güvenlik açığı.
UMass Dartmouth profesörleri Ruolin Zhou ve Hong Liu, Cybereason Baş Güvenlik Görevlisi Sam Curry ve bilgisayar bilimcisi Blake Berry ile birlikte çalıştı. GitHub’da sorunun ayrıntılı bir dökümübirçok Honda’daki anahtarsız uzaktan kumanda sisteminin her kapı açma, kapı kapatma, bagaj açma ve uzaktan çalıştırma komutu için aynı şifrelenmemiş RF sinyalini gönderdiğini gösteren birden fazla video paylaşıyor.
Araştırmacılar, “Bu, saldırganın isteği dinlemesine ve bir tekrar saldırısı gerçekleştirmesine izin veriyor” dedi.
Araştırmacılar, Honda Civic LX, EX, EX-L, Touring, Si ve Type R modellerinin sorundan etkilendiğini söyledi. HackRF One SDR, bir dizüstü bilgisayar, FCCID.io’da bir hesap, Gqrx Yazılım Tanımlı Radyo Alıcısı yazılımına erişim ve GNURadio Geliştirme Kiti dahil olmak üzere yaygın olarak bulunan çeşitli araçları kullandılar.
Araç sahibi kontak anahtarını kullandığında ve gönderdiği sinyali kaydettiğinde bilgisayar korsanının yakınlarda olması yeterlidir. Kaydedildikten sonra, aracın kilidini açmak veya çalıştırmak için kullanılabilir.
Araştırmacılar uzun süredir bu tür saldırılar konusunda uyarıyorlar ve Diğer benzer zayıflıklar Geçmişte vurgulandı. CVE-2022-27254 için NIST sayfası, sorunu şuna bağlar: CVE-2019-20626benzer bir güvenlik açığı 2017 Honda HR-V araçlarını etkiler.
Araştırmacılar, üreticilerin navigasyon kodları olarak da bilinen yuvarlanan kodları uygulaması gerektiğini söyledi.
“Uzaktan Anahtarsız Giriş (RKE) veya Pasif Anahtarsız Giriş (PKE) sisteminin her kimlik doğrulaması için yeni bir belirteç sağlamak için yaygın olarak kullanılan bir güvenlik teknolojisidir” diyen araştırmacılar, tüketicileri onlar için bir sinyal engelleyici Faraday çantası kullanmaya çağırdı. . anahtarlık
“RKE yerine PKE kullanın, bu, bir saldırganın ihtiyaç duyacağı yakınlık göz önüne alındığında sinyali klonlamasını/okumasını zorlaştıracaktır.”
Önlemlerin kusursuz olmadığını ve herhangi biri saldırının kurbanı olmuşsa, tek hafifletmenin proxy’deki güç anahtarını sıfırlamak olduğunu kaydetti. Araştırmacılar, güvenlik açığının vahşi doğada istismar edildiğine dair bir kanıt olmadığını söyledi, ancak The Record bunu bağımsız olarak doğrulayamadı.
Yeni bir keşif değil
Honda sözcüsü Chris Martin, konuyla ilgili The Record ile temasa geçtiğinde, bunun “yeni bir keşif olmadığını” ve “daha fazla raporu hak etmediğini” iddia etti.
Martin, “birçok otomobil üreticisi tarafından kullanılan eski teknolojinin” “kararlı ve teknik açıdan son derece sofistike hırsızlara” karşı savunmasız olabileceğini vurguladı.
Honda, araştırmacılar tarafından bildirilen bilgileri doğrulamadı ve araçlarının bu tür saldırılara karşı savunmasız olup olmadığını doğrulayamıyor. Martin, “Honda’nın şu anda eski arabaları güncelleme planı yok” dedi.
“Honda, yeni modellerin piyasaya sürülmesiyle güvenlik özelliklerini düzenli olarak iyileştirirken, kararlı ve teknolojik olarak gelişmiş hırsızların da bu özelliklerin üstesinden gelmek için çalıştığını belirtmek önemlidir. Ayrıca, başka bir sürüş yöntemi olmadan bir araca erişime sahip olmak, doğası gereği yüksek olmakla birlikte. Hırsızlara bir araca binmenin geleneksel ve kesinlikle daha kolay yollarından çok daha büyük bir avantaj sağlamıyor. Söz konusu cihazın tipinin geniş çapta kullanıldığına dair hiçbir belirti yok.”
Martin, The Record’a Acura ve Honda arabaları uzaktan çalıştırılırsa, arabalarında ayrı bir immobilizer çipi olan geçerli bir kontak anahtarı olana kadar arabalarının sürülemeyeceğini söyledi. “Kapı kilitlerinde bildirilen zayıflığın Acura veya Honda kullanma becerisiyle sonuçlandığına dair hiçbir belirti yok” diye ekledi.
Vulcan Cyber’in baş teknik mühendisi Mike Barkin, yuvarlanan kodların kısmen küçük araba saldırılarına karşı savunmasız olan bir dizi kapı açıcı ile başa çıkmak için geliştirildiğini söyledi.
Barkin, “Sürpriz olan, herhangi bir büyük üreticinin güvenli olmayan bir uzaktan kilit açma sistemi uygulayacak olmasıdır. Mevcut uzaktan kumandalara karşı, bazıları kavram kanıtı şeklinde gösterilen birçok teorik saldırı var,” dedi.
Bu, eski uzaktan kumandalara yönelik mevcut saldırılara ektir. Zorluk, Honda’nın bu sorunla nasıl başa çıktığıdır, çünkü fiziksel anahtarlık ve bu tür bir donanım yazılımı yükseltmesi için asla tasarlanmamış arabalar için basit bir yazılım düzeltmesi yoktur – eğer yazılım yamalanabilirse.”
Cerberus Sentinel’den Chris Clements gibi diğer uzmanlar, saldırının güvenlik araştırmacısı Samy Kamkar’ın söylediği “rolljam” hatasından daha kötü olduğunu söyledi. 2015 yılında popüler olarak gösterildi.
Bu son güvenlik açığı, bilgisayar korsanlarına belirli araç işlevlerini kontrol etmek için sınırsız erişim sağlar.
Clements ayrıca Honda’nın güvenlik açığına verdiği yanıtı da ele aldı ve üreticilerin tamamen işlevsel makinelerde güvenlik sorunlarını yamalamayı bırakmasının “büyük bir sorun olacağını” belirtti.
Clements, “Bu, kimsenin dinlemeyeceğini umarak bir odada şifrenizi bağırmak gibidir. Evet, birinin onu duyacak kadar yakın olması ve sonra onunla ne yapacağını bilmesi gerekir, ancak bundan sonra bundan yararlanmak çok kolay” dedi.
“Giderek daha fazla cihaz ‘akıllı’ işlevsellik ekledikçe, bu cihazları veya verileri riske atan güvenlik açıklarının keşfedilmesi kaçınılmazdır. Kullanılabilir bir yama yoksa veya daha da kötüsü yama mekanizması yoksa, kullanıcıların bu cihazları veya verileri riske atıp atmayacaklarını seçmeleri gerekecektir. İkisi de ideal bir durum olmayan savunmasız bir cihazı kullanmak veya ondan kurtulmak.”
More Stories
Apple’ın Fotoğraf Yayınım hizmeti çarşamba günü durduruldu, işte yapmanız gerekenler
OpenAI teknolojisi tarafından desteklenen Bing Chat, Chrome ve Safari’ye yayılıyor
NASA, uzaylıların araması için Earth Sounds’u yayınladı – Carl Sagan’ın kopyası açık artırmaya çıkacak