Tech

Déverrouillez n’importe quelle voiture (Honda) | Hackaday

Les voitures Honda se sont avérées extrêmement vulnérables à une nouvelle publication Attaque PWN roulante, vous permettant d’ouvrir à distance les portes de la voiture ou même de démarrer le moteur. Jusqu’à présent, cela n’a été prouvé que sur les Honda, mais dix modèles sur dix qui [kevin2600] testés étaient vulnérables, l’amenant à conclure que tous les véhicules Honda sur le marché peuvent probablement être ouverts de cette manière. Nous ne savons tout simplement pas encore si cela affecte les autres fournisseurs, mais en principe, cela pourrait. Cette vulnérabilité s’est vu attribuer le CVE-2021-46145.

[kevin2600] va en profondeur sur les implications de l’attaque mais ne publie pas beaucoup de détails. [Wesley Li]qui a découvert la même faille indépendamment, entre dans des détails plus techniques. Le piratage semble rejouer une série de codes précédemment valides qui réinitialisent le compteur PRNG interne à un état plus ancien, permettant à l’attaquant de réutiliser les clés antérieures connues. Ainsi, cela nécessite une certaine écoute des communications précédentes porte-clés-voiture, mais cela devrait être facile à configurer avec un SDR bon marché et un SBC de votre choix.

Si vous avez l’un des modèles concernés, c’est une mauvaise nouvelle, car Honda ne répondra probablement pas de toute façon. Le chercheur a contacté le service client de Honda il y a quelques semaines et n’a pas encore reçu de réponse. Pourquoi le support client ? Parce que Honda n’a pas de service de sécurité auquel soumettre un tel problème. Et même s’ils le faisaient, il y a quelques mois à peine, Honda a déclaré ils ne feront aucune sorte d’atténuation pour les vulnérabilités de “déverrouillage de voiture”.

Dans l’état actuel des choses, toutes ces voitures Honda concernées pourraient bien être là pour la prise. Ce n’est pas la première fois que Honda est surpris en train de bâcler une implémentation de code tournant – en fait, c’est la deuxième fois cette année. Peut-être que cette série de vulnérabilités n’est que du karma pour Honda qui supprime tous ces modèles 3D de pièces de rechange, mais une chose est sûre : ils feraient mieux de créer un département approprié pour gérer les problèmes de sécurité.


Source link

Articles similaires