研究人員近日發現一個高危漏洞,允許黑客遠程解鎖和啟動多款本田(Honda)車型。目前本田旗下10款最受歡迎的車型均受到影響。更糟糕的是,研究人員調查認為從2012到2022年發售的所有車型可能都存在這個漏洞。
這個漏洞被安全研究人員稱之為“RollingPWN”,主要利用本田的無鑰匙進入系統的一個組件。目前本田的進入系統依賴於滾動代碼模型,每次所有者按下 fob 按鈕時都會創建一個新的進入代碼。
在新進入代碼創建之後,理論上此前創建的代碼應該棄用以防止重放攻擊。不過研究人員 Kevin26000 和 Wesley Li 發現舊代碼可以回滾並用於獲取對車輛的不必要訪問權限。
研究人員對 2012-2022 年發售的多款本田車型進行測試,均發現這個漏洞。目前經過測試,已經確認受到影響的車輛型號包括
● Honda Civic 2012
● Honda XR-V 2018
● Honda CR-V 2020
● Honda Accord 2020
● Honda Odyssey 2020
● Honda Inspire 2021
● Honda Fit 2022
● Honda Civic 2022
● Honda VE-1 2022
● Honda Breeze 2022
根據漏洞影響車型列表和成功測試情況,Kevin26000 和 Li 堅信該漏洞可能會影響所有本田汽車,而不僅僅是上面列出的前十個。
為漏洞提供修復可能與漏洞利用本身一樣復雜。本田可以通過無線 (OTA) 固件更新修復該漏洞,但許多受影響的汽車不提供 OTA 支持。更大的潛在受影響車輛池使得召回情況不太可能發生。
目前,Kevin26000 和 Li 正懷疑該漏洞是否也存在於其他車企的車輛型號中。