Os investigadores de segurança Kevin2600 e Wesley Li do Star-V Lab publicam vídeos, no início da semana, revelando uma vulnerabilidade em diversos modelos de veículos da Honda. O problema permite que os hackers não possam só abrir a porta dos carros, como também dar partida no motor de forma remota.
Chamada de Ataque Rolling-PWN (CVE-2021-46145), a fraqueza aceita ataques de repetição nos quais um agente de ameaças intercepta os códigos do chaveiro para o carro e os utiliza para burlar os sistemas de segurança. Para isso, os pesquisadores empregam um sistema remoto de entrada sem chave (RKE).
Para provar que o problema afeta todos os veículos da Honda lançados de 2012 até 2022, os especialistas testaram com sucesso o ataque contra os dez modelos mais populares da marca: Civic 2012; X-RV 2018; C-RV 2020; Acordo 2020; Odisseia 2020; Inspire 2021; Ajuste 2022; Cívico 2022; VE-1 2022 e Breeze 2022.
Como os carros da Honda são destravar?
De acordo com a descrição do Rolling-PWN publicado na plataforma GitHub, uma vulnerabilidade ocorre em uma versão do mecanismo de códigos rolantes. A solução foi fornecida em muitos modelos Honda justamente para evitar ataques de repetição do tipo “man-in-the-middle”no qual o invasor consegue interceptar a comunicação entre o usuário e o sistema de segurança.
No entanto, o receptor do veículo aceita uma janela deslizante de códigos, para teclas acidentais pressionadas pelo design”. Assim, quando os comandos são enviados em sequência, o contador é ressincronizado, o que permite que os mesmos comandos do ciclo anterior podem ser reutilizados.
Para resolver o problema sem necessidade de um recall, uma solução válida para atualização do firmware BCN, através de uma atualização over-air (OTA), o que deixaria de fora alguns veículos mais antigos. Consultada pela revista Vicea Honda disse que o relatório não é digno de confiança.