خانم ها و آقایان، افتخار من این است که تحقیقات حمله Rolling-Pwn را بر روی سیستم Honda Keyfob به شما ارائه کنم. (https://t.co/UqJEJofxtr) pic.twitter.com/3ZccqfJrUa
– Kevin2600 (@ Kevin2600) 7 جولای 2022
WTF؟! محققان اخیراً آسیبپذیری را کشف کردهاند که به هکرها اجازه میدهد چندین مدل خودروی هوندا را از راه دور باز کنند و راهاندازی کنند. لیست مدلهای آسیبپذیر 10 مدل از محبوبترین مدلهای هوندا را آسیبپذیر معرفی میکند. بدتر از همه، یافتههای کنونی محققان را به این باور میرساند که این آسیبپذیری میتواند در تمام خودروهای هوندا از سال 2012 تا 2022 وجود داشته باشد.
این نقص امنیتی که توسط محققان RollingPWN نامیده می شود، از یکی از اجزای سیستم ورود بدون کلید هوندا بهره برداری می کند. سیستم ورودی فعلی متکی به یک مدل کد متحرک است که هر بار که مالکان دکمه fob را فشار میدهند، یک کد ورودی جدید ایجاد میکند. پس از صدور، موارد قبلی باید غیرقابل استفاده شوند تا از حملات مجدد جلوگیری شود. در عوض، محققان کوین 26000 و وسلی لی کشف کردند که کدهای قدیمی را می توان برگرداند و برای دسترسی ناخواسته به وسیله نقلیه استفاده کرد.
این یافته تنها یکی دیگر از یک سری آسیبپذیریهای دسترسی است که در سری خودروهای هوندا در سال جاری کشف شد. در ماه مارس، محققان یک سوء استفاده از انسان در وسط (CVE-2022-27254) را شناسایی کردند که در آن سیگنالهای RF میتوانند رهگیری و برای استفاده بعدی دستکاری شوند. Kevin26000 همچنین در ژانویه 2022 یک حمله تکراری مشابه (CVE-2021-46145) را گزارش کرده بود.
ارائه راه حلی برای آسیب پذیری ممکن است به اندازه خود اکسپلویت پیچیده باشد. هوندا میتواند این نقص را از طریق بهروزرسانی سیستمافزار هوایی (OTA) برطرف کند، اما بسیاری از خودروهای آسیبدیده از OTA پشتیبانی نمیکنند. استخر بزرگتر وسایل نقلیه احتمالی آسیب دیده سناریوی فراخوان را بعید می سازد.
براساس فهرست و آزمایشهای موفقیتآمیز این اکسپلویت، Kevin26000 و Li قویاً معتقدند که این آسیبپذیری میتواند بر همه خودروهای هوندا و نه فقط ده اولیه فهرست شده در بالا تأثیر بگذارد.
محققان این آسیبپذیری را در چندین مدل هوندا از سال 2012 تا 2022 آزمایش کردند. فهرست خودروهای آزمایشی تحت تأثیر شامل موارد زیر است:
- هوندا سیویک 2012
- هوندا XR-V 2018
- هوندا CR-V 2020
- هوندا آکورد 2020
- هوندا اودیسه 2020
- هوندا اینسپایر 2021
- هوندا فیت 2022
- هوندا سیویک 2022
- هوندا VE-1 2022
- هوندا بریز 2022
در حال حاضر، تحقیقات برای تعیین میزان گستردگی این آسیبپذیری ادامه دارد. بر اساس ماهیت حمله، Kevin26000 و Li به شدت مشکوک هستند که این موضوع ممکن است بر سایر خودروسازان نیز تأثیر بگذارد.