Un dúo de investigadores ha lanzado una prueba de concepto (PoC) que demuestra la capacidad de un actor malintencionado para bloquear, desbloquear e incluso arrancar de forma remota vehículos Honda y Acura por medio de lo que se denomina un ataque de repetición.
El ataque es posible gracias a una vulnerabilidad en su sistema remoto sin llave (CVE-2022-27254) que afecta a los modelos Honda Civic LX, EX, EX-L, Touring, Si y Type R fabricados entre 2016 y 2020. Ayyappan Rajesh, estudiante de UMass Dartmouth, y Blake Berry (HackingIntoYourHeart) se atribuyen el descubrimiento del problema.
“Un pirata informático puede obtener acceso completo e ilimitado para bloquear, desbloquear, controlar las ventanas, abrir la cajuela y arrancar el motor del vehículo objetivo donde la única forma de prevenir el ataque es no usar nunca su control remoto o, después de ser comprometido (que sería difícil de realizar), restablecer su control remoto en un concesionario”, Berry explicado en una publicación de GitHub.
El problema subyacente es que el llavero remoto de los vehículos Honda afectados transmite la misma señal de radiofrecuencia sin cifrar (433,215 MHz) al automóvil, lo que permite que un adversario intercepte y reproduzca la solicitud en un momento posterior para arrancar el motor de forma inalámbrica como así como bloquear y desbloquear las puertas.
Esta no es la primera vez que se descubre una falla de este tipo en los vehículos Honda. Un problema relacionado descubierto en los modelos Honda HR-V 2017 (CVE-2019-20626puntaje CVSS: 6.5) se dice que fue “aparentemente ignorado” por la compañía japonesa, alegó Berry.
“Los fabricantes deben implementar Códigos rodantestambién conocido como código de salto”, Rajesh dijo. “Es una tecnología de seguridad comúnmente utilizada para proporcionar un código nuevo para cada autenticación de un sistema de entrada remota sin llave (RKE) o entrada pasiva sin llave (PKE)”.
Le hemos pedido a Honda un comentario y actualizaremos la historia una vez que tengamos una respuesta.
About the Author
