部分本田车型存在漏洞,黑客可远程启动车辆
The Hacker News 网站披露,研究人员发现一个影响部分 Honda(本田) 和 Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。
据悉,发现漏洞问题的是达特茅斯大学两个学生 Ayyappan Rajesh 和 Blake Berry。Blake Berry 在 GitHub帖子中表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。
受影响车型的遥控钥匙向汽车传输相同的、未加密的无线电频率信号(433.215MHz)时,攻击者能够拦截并重新发送,以无线方式启动发动机,并锁定和解锁车门。
漏洞主要影响 2016 年至 2020 年生产的本田思域 LX、EX、EX-L、旅行版、Si 和 Type R 等车型。
本田汽车出现过类似漏洞
值得一提的是,这不是第一次在本田汽车中发现此类漏洞, 2017 年本田 HR-V 车型中出现了一个相关漏洞(CVE-2019-20626,CVSS评分:6.5)。
Rajesh 强调,汽车制造商必须实施滚动代码,也就是所谓的跳转代码,这是一种常用的安全技术,为远程无钥匙进入(RKE)或被动无钥匙进入(PKE)系统的每次身份认证提供一个新的代码,来确保汽车安全。
参考来源
https://thehackernews.com/2022/03/hondas-keyless-access-bug-could-let.html