ثغرة أمنية في مفاتيح سيارات هوندا يسهل عملية السرقة
تتيح للسارق فتح وبدء تشغيل السيارات عن بعد
كشف باحثو الأمن عن ثغرة أمنية في نظام الدخول بدون مفتاح في شركة هوندا والذي يمكن أن يسمح للقراصنة بفتح القفل عن بُعد والبدء المحتمل في "جميع سيارات هوندا الموجودة حاليًا في السوق".
هجوم "Rolling-Pwn" ، الذي كشف عنه باحثو الأمن في Star-V Lab Kevin2600 و Wesley Li ، يستغل ثغرة أمنية في الطريقة التي ينقل بها نظام الدخول بدون مفتاح في هوندا رموز المصادقة بين السيارة وسلسلة المفاتيح.
فيديو ذات صلة
This browser does not support the video element.
إنه يعمل بطريقة مشابهة لهجوم إعادة تشغيل Bluetooth الذي تم اكتشافه مؤخرًا والذي يؤثر على بعض سيارات Tesla ؛ باستخدام أجهزة راديو يمكن شراؤها بسهولة ، تمكن الباحثون من التنصت والتقاط الرموز ، ثم بثها مرة أخرى إلى السيارة من أجل الوصول إليها.
وسمح ذلك للباحثين بفتح وبدء تشغيل محركات السيارات المتأثرة بالثغرة الأمنية عن بُعد ، والتي تشمل طرازات تعود إلى عام 2012 وحتى عام 2022.
ولكن وفقًا لـ The Drive ، التي اختبرت بشكل مستقل الثغرة الأمنية في سيارة هوندا أكورد والتحقق منها في عام 2021 ، لا يسمح العيب الرئيسي لسلسلة المفاتيح للمهاجم بالقيادة بالسيارة.
كما لاحظ الباحثون ، يجب منع هذا النوع من الهجوم من خلال آلية الرموز المتدحرجة للمركبة - وهو نظام تم تقديمه لمنع هجمات الإعادة من خلال توفير رمز جديد لكل مصادقة على إدخال بدون مفتاح عن بُعد. تحتوي المركبات على عداد يتحقق من التسلسل الزمني للرموز التي تم إنشاؤها ، مما يزيد العدد عندما يتلقى رمزًا جديدًا.
ووجد Kevin2600 و Wesley Li أنه تتم إعادة مزامنة العداد في سيارات Honda عندما يتم قفل وإلغاء قفل السيارة في تسلسل متتالي ، مما يتسبب في قبول السيارة لأكواد من الجلسات السابقة التي كان من المفترض أن يتم إبطالها.
كتب الباحثون: "بإرسال الأوامر في تسلسل متتالي إلى سيارات هوندا ، ستتم إعادة مزامنة العداد". "بمجرد إعادة مزامنة العداد ، تعمل الأوامر من الدورة السابقة للعداد مرة أخرى. لذلك ، يمكن استخدام هذه الأوامر لاحقًا لإلغاء قفل السيارة حسب الرغبة ".
ويقول الباحثون إنهم اختبروا هجومهم على العديد من طرازات هوندا ، بما في ذلك هوندا سيفيك 2012 ، هوندا أكورد 2020 ، وهوندا فيت 2022 ، لكنهم حذروا من أن الثغرة الأمنية قد تؤثر على "جميع سيارات هوندا الموجودة حاليًا في السوق" وقد تؤثر أيضًا على أخرى. سيارات المصنعين.
ويقول الباحثون الأمنيون إنهم حاولوا الاتصال بشركة هوندا بشأن الثغرة الأمنية ، لكنهم وجدوا أن الشركة "ليس لديها قسم للتعامل مع القضايا المتعلقة بأمان منتجاتها". على هذا النحو ، أبلغوا خدمة عملاء هوندا بالمشكلة لكنهم لم يتلقوا ردًا بعد.
TechCrunch أيضًا لم تتلق ردًا من هوندا ، ولكن في بيان إلى The Drive ، أصرت الشركة على أن التكنولوجيا الموجودة في سلاسلها الرئيسية "لن تسمح بالثغرة الأمنية كما هو موضح في التقرير."
وقال متحدث باسم شركة هوندا: "لقد نظرنا في مزاعم مماثلة سابقة ووجدنا أنها تفتقر إلى المضمون".
"في حين أننا لا نملك معلومات كافية حتى الآن لتحديد ما إذا كان هذا التقرير ذا مصداقية ، فإن المفاتيح الرئيسية في المركبات المشار إليها مزودة بتقنية الكود المتداول التي لن تسمح بالثغرة الأمنية كما هو موضح في التقرير. بالإضافة إلى ذلك ، تم عرض مقاطع الفيديو على أنها دليل على عدم وجود رمز متداول لا يتضمن أدلة كافية لدعم المطالبات ".
كما لاحظ الباحثون الأمنيون، إذا اعترفت شركة هوندا بالعيب ، فسيكون إصلاحه صعبًا نظرًا لحقيقة أن المركبات القديمة لا تدعم التحديثات عبر الهواء (OTA). ومما يثير القلق أيضًا أن الباحثين حذروا أيضًا من أنه لا توجد طريقة للحماية من الاختراق ولا توجد طريقة لتحديد ما إذا كان قد حدث لك أم لا.