Star-V Lab’den güvenlik araştırmacıları Kevin2600 ve Wesley Li, bu haftanın başlarında birkaç Honda araç modelinde bir güvenlik açığını ortaya çıkaran videolar yayınladı. Sorun, bilgisayar korsanlarının yalnızca araba kapılarını açmasına değil, aynı zamanda motoru uzaktan çalıştırmasına da izin veriyor.
Rolling-PWN Saldırısı (CVE-2021-46145) olarak adlandırılan zayıflık, bir tehdit aktörünün araba anahtarlık kodlarını ele geçirmeyi başardığı ve güvenlik sistemlerini atlamak için kullandığı tekrar saldırılarını kabul ediyor. Bunun için araştırmacılar bir uzaktan anahtarsız giriş (RKE) sistemi kullandılar.
Ayrıca bkz: Google Doodle, NASA’nın James Webb Uzay Teleskobu’ndan İlk Görüntüleri Kutluyor!
Sorunun 2012’den 2022’ye kadar piyasaya sürülen tüm Honda araçlarını etkilediğini kanıtlamak için uzmanlar, saldırıyı markanın en popüler on modeline karşı başarıyla test etti:
- Honda Civic 2012
- Honda X-RV 2018
- Honda C-RV 2020
- Honda Accord 2020
- Honda Odyssey 2020
- Honda Inspire 2021
- Honda Fit 2022
- Honda Civic 2022
- Honda VE-1 2022
- Honda Breeze 2022
İçindekiler
Araştırmacılar Honda arabalarının kilidini nasıl açtı?
GitHub platformunda yayınlanan Rolling-PWN açıklamasına göre güvenlik açığı, haddeleme kod motorunun bir sürümünde ortaya çıkıyor. Çözüm, saldırganın kullanıcı ile güvenlik sistemi arasındaki iletişimi engelleyebildiği “ortadaki adam” tekrar saldırılarını önlemek için birçok Honda modelinde uygulandı.
Yeni sistemde uzmanlar, “Her anahtarlık düğmesine basıldıktan sonra, yuvarlanan kod senkronizasyon sayacı artırılıyor. Ancak, tasarım gereği yanlışlıkla tuşa basılmasını önlemek için aracın alıcısı kayan bir kod penceresini kabul edecek” diyor.
Araştırmacılar, geri çağırmaya gerek kalmadan sorunu çözmek için geçerli bir çözümün, savunmasız BCN donanım yazılımını, bazı eski araçları dışarıda bırakacak bir kablosuz (OTA) güncellemesi yoluyla güncellemek olacağını öne sürüyorlar. Vice dergisi tarafından sorulan Honda, raporun güvenilmez olduğunu söyledi.
Kaynak: Bleeping Computer
tarafından verilmektedir.