部分本田车型存在漏洞，黑客可远程启动车辆

The Hacker News 网站披露，研究人员发现一个影响部分 Honda（本田） 和 Acura（讴歌）车型的重放攻击漏洞（CVE-2022-27254），黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。

据悉，发现漏洞问题的是达特茅斯大学两个学生 Ayyappan Rajesh 和 Blake Berry。Blake Berry 在 GitHub帖子中表示，黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限，防止攻击的唯一方法是永远不要使用遥控钥匙，或者在被攻击后，从汽车经销商处重新设置新的钥匙。

受影响车型的遥控钥匙向汽车传输相同的、未加密的无线电频率信号（433.215MHz）时，攻击者能够拦截并重新发送，以无线方式启动发动机，并锁定和解锁车门。

漏洞主要影响 2016 年至 2020 年生产的本田思域 LX、EX、EX-L、旅行版、Si 和 Type R 等车型。

 本田汽车出现过类似漏洞 

值得一提的是，这不是第一次在本田汽车中发现此类漏洞， 2017 年本田 HR-V 车型中出现了一个相关漏洞（CVE-2019-20626，CVSS评分：6.5）。

Rajesh 强调，汽车制造商必须实施滚动代码，也就是所谓的跳转代码，这是一种常用的安全技术，为远程无钥匙进入（RKE）或被动无钥匙进入（PKE）系统的每次身份认证提供一个新的代码，来确保汽车安全。

参考来源

https://thehackernews.com/2022/03/hondas-keyless-access-bug-could-let.html

精彩推荐

原文始发于微信公众号（FreeBuf）：部分本田车型存在漏洞，黑客可远程启动车辆