Os pesquisadores de segurança Kevin2600 e Wesley Li do Star-V Lab publicaram vídeos, no início da semana, revelando uma vulnerabilidade em diversos modelos de veículos da Honda. O problema permite que hackers possam não só abrir a porta dos carros, como também dar partida no motor de forma remota.
Chamada de Rolling-PWN Attack (CVE-2021-46145), a fraqueza aceita ataques de repetição nos quais um agente de ameaça consegue interceptar os códigos do chaveiro para o carro e os utiliza para burlar os sistemas de segurança. Para isso, os pesquisadores empregaram um sistema remoto de entrada sem chave (RKE).
Para provar que o problema afeta todos os veículos da Honda lançados de 2012 até 2022, os especialistas testaram com sucesso o ataque contra os dez modelos mais populares da marca: Civic 2012; X-RV 2018; C-RV 2020; Accord 2020; Odyssey 2020; Inspire 2021; Fit 2022; Civic 2022; VE-1 2022 e Breeze 2022.
Como os pesquisadores conseguiram destravar os carros da Honda?
De acordo com a descrição do Rolling-PWN publicado na plataforma GitHub, a vulnerabilidade ocorre em uma versão do mecanismo de códigos rolantes. A solução foi implementada em muitos modelos Honda justamente para evitar ataques de repetição do tipo “man-in-the-middle”, no qual o invasor consegue interceptar a comunicação entre o usuário e o sistema de segurança.
No novo sistema, explicam os especialistas, "após cada botão do chaveiro ser pressionado, o contador de sincronização de códigos rolantes é aumentado. No entanto, o receptor do veículo aceitará uma janela deslizante de códigos, para evitar teclas acidentais pressionadas pelo design”. Assim, quando comandos são enviados em sequência, o contador é ressincronizado, o que permite que os mesmos comandos do ciclo anterior possam ser reutilizados.
Para resolver o problema sem a necessidade de um recall, sugerem os pesquisadores, uma solução válida seria uma atualização do firmware BCN vulnerável, através de uma atualização over-the-air (OTA), o que deixaria de fora alguns veículos mais antigos. Consultada pela revista Vice, a Honda disse que o relatório não é digno de confiança.
Fontes
Categorias
