İki araştırmacı, kötü niyetli bir oyuncunun yeniden oynatma saldırısı olarak adlandırılan bir yöntemle Honda ve Acura araçlarını uzaktan kilitleme, kilidini açma ve hatta çalıştırma yeteneğini gösteren bir kavram kanıtı (PoC) yayınladı.
Uzaktan anahtarsız sistemindeki bir güvenlik açığı sayesinde saldırı mümkün hale geldi (CVE-2022-27254) 2016 ve 2020 yılları arasında üretilen Honda Civic LX, EX, EX-L, Touring, Si ve Type R modellerini etkiler. Sorunu keşfeden kişi, UMass Dartmouth öğrencisi Ayyappan Rajesh ve Blake Berry’dir (HackingIntoYourHeart).
“Bir bilgisayar korsanı, saldırıyı önlemenin tek yolunun ya asla anahtarlığınızı kullanmamak ya da ele geçirildikten sonra hedef aracın kilitlenmesine, kilidinin açılmasına, camların kontrol edilmesine, bagajın açılmasına ve motorunun çalıştırılmasına tam ve sınırsız erişim elde edebilir. (fark etmesi zor olurdu), anahtarlığınızı bir bayide sıfırlamak,” Berry açıkladı bir GitHub gönderisinde.
Altta yatan sorun, etkilenen Honda araçlarındaki uzaktan anahtarlığın aynı, şifrelenmemiş radyo frekansı sinyalini (433.215MHz) araca ileterek, rakibin daha sonra kablosuz olarak motoru çalıştırmak için talebi etkili bir şekilde engellemesini ve yeniden yürütmesini sağlamasıdır. ayrıca kapıları kilitleyin ve açın.
Honda araçlarında bu tür bir kusur ilk kez ortaya çıkmıyor. 2017 Honda HR-V modellerinde keşfedilen ilgili bir sorun (CVE-2019-20626CVSS puanı: 6.5), Berry’nin iddiasına göre Japon şirketi tarafından “görünüşte görmezden gelindiği” söyleniyor.
“Üreticiler uygulamalı Haddeleme Kodlarıaksi takdirde atlama kodu olarak da bilinir,” Rajesh dedim. “Uzaktan anahtarsız giriş (RKE) veya pasif anahtarsız giriş (PKE) sisteminin her kimlik doğrulaması için yeni bir kod sağlamak için yaygın olarak kullanılan bir güvenlik teknolojisidir.”
Honda’dan bir yorum istedik ve haber aldığımızda hikayeyi güncelleyeceğiz.