The Hacker News 网站披露,研究人员发现一个影响部分 Honda(本田) 和 Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。
据悉,发现漏洞问题的是达特茅斯大学两个学生 Ayyappan Rajesh 和 Blake Berry。Blake Berry 在 GitHub帖子中表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。
受影响车型的遥控钥匙向汽车传输相同的、未加密的无线电频率信号(433.215MHz)时,攻击者能够拦截并重新发送,以无线方式启动发动机,并锁定和解锁车门。
漏洞主要影响 2016 年至 2020 年生产的本田思域 LX、EX、EX-L、旅行版、Si 和 Type R 等车型。
本田汽车出现过类似漏洞
值得一提的是,这不是第一次在本田汽车中发现此类漏洞, 2017 年本田 HR-V 车型中出现了一个相关漏洞(CVE-2019-20626,CVSS评分:6.5)。
Rajesh 强调,汽车制造商必须实施滚动代码,也就是所谓的跳转代码,这是一种常用的安全技术,为远程无钥匙进入(RKE)或被动无钥匙进入(PKE)系统的每次身份认证提供一个新的代码,来确保汽车安全。
参考来源
https://thehackernews.com/2022/03/hondas-keyless-access-bug-could-let.html
精彩推荐
原文始发于微信公众号(FreeBuf):部分本田车型存在漏洞,黑客可远程启动车辆
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论