RollingPWN漏洞:黑客远程解锁和启动多款本田车型
2022-7-12 08:0:36 Author: 雾晓安全(查看原文) 阅读量:11 收藏

Rolling-PWN攻击介绍
近日研究人员近日发现了一个高危漏洞,允许黑客远程解锁和启动多款本田(Honda)车型。目前本田旗下10款最受欢迎的车型均受到了影响。更糟糕的是,研究人员调查认为从2012到2022年发售的所有车型可能都存在这个漏洞。

Rolling-PWN攻击介绍
这个漏洞被安全研究人员称之为“RollingPWN”,主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型,每次所有者按下fob 按钮时都会创建一个新的进入代码。
在新进入代码创建之后,理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员Kevin26000和Wesley Li发现旧代码可以回滚并用于获取对车辆的不必要访问权限。
本田旗下10款均受到了影响
  • 本田思域2012

  • 本田X-RV 2018

  • 本田C-RV 2020

  • 本田雅阁 2020

  • 本田奥德赛 2020

  • 本田Inspire 2021

  • 本田飞度 2022

  • 本田思域 2022

  • 本田 VE-1 2022

  • 本田微风 2022

安全研究人员针对本田CRV汽车攻击演示:

根据漏洞影响车型列表和成功测试情况,Kevin26000和Li坚信该漏洞可能会影响所有本田汽车,而不仅仅是上面列出的前十个。 为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞,但许多受影响的汽车不提供OTA支持。更大的潜在受影响车辆池使得召回情况不太可能发生。目前,Kevin26000和Li正怀疑该漏洞是否也存在于其他车企的车辆型号中。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247492951&idx=1&sn=e53e3ddf5f705b14644ca7746db5cae4&chksm=ce682ad1f91fa3c7486c7a2753a6e8e85818deb59e7d88960a864aa2cd0c24babc0b816ecdbe#rd
如有侵权请联系:admin#unsafe.sh