Luka zabezpieczeń pozwala zdalnie otwierać i uruchamiać samochody Hondy

Badacze zabezpieczeń odkryli lukę, która umożliwia zdalne odblokowanie i uruchomienie wielu modeli samochodów Hondy. Lista podatnych modeli wymienia 10 najpopularniejszych aut Hondy, jednak obecne ustalenia prowadzą badaczy do wniosku, że luka może być obecna we wszystkich pojazdach Hondy od 2012 do 2022 roku.

Obecny system opiera się na modelu rolling code, który tworzy nowy kod za każdym razem, gdy właściciele naciskają przycisk pilota, a poprzednie powinny stać się bezużyteczne, aby zapobiec atakom typu replay. Badacze odkryli jednak, że stare kody mogą być cofnięte i wykorzystane do uzyskania dostępu do pojazdu. Przetestowano lukę w zabezpieczeniach kilku modeli Hondy od 2012 do 2022 roku.

Luka zabezpieczeń w samochodach Hondy pozwala zdalnie odblokować i uruchomić pojazd z systemem bezkluczykowym (keyless). Potwierdzono problem w 10 najpopularniejszych modelach, ale zagrożone są prawdopodobnie wszystkie od 2012 roku, przez co niemożliwa jest naprawa poprzez OTA.

Lista pojazdów, które sprawdzono i są dotknięte problemem to:

• Honda Civic 2012
• Honda XR-V 2018
• Honda CR-V 2020
• Honda Accord 2020
• Honda Odyssey 2020
• Honda Inspire 2021
• Honda Fit 2022
• Honda Civic 2022
• Honda VE-1 2022
• Honda Breeze 2022

Bazując na liście i pomyślnych testach exploita można uważać, że luka  dotyczy wszystkich pojazdów Hondy, a nie tylko dziesięciu wymienionych. Wydanie poprawki będzie problematyczne. Honda mogłaby załatać lukę poprzez aktualizację firmware'u over-the-air (OTA), ale wiele z samochodów dotkniętych problemem nie zapewnia wsparcia OTA. Akcja serwisowa jest również mało prawdopodobna, ze względu na skalę problemu.

Jest to kolejna w tym roku wykryta luka w samochodach Hondy. W marcu badacze zidentyfikowali exploit man-in-the-middle (CVE-2022-27254), w którym sygnały RF mogły być przechwytywane w celu późniejszego wykorzystania. Podobny atak typu replay (CVE-2021-46145) zgłaszano już w styczniu 2022 roku.