Специалисты по кибербезопасности из компании Star-V Lab обнаружили в автомобилях Honda уязвимость, которая позволяет злоумышленникам вскрывать машины, защищённые «плавающими» радиочастотными кодами. Автопроизводитель отнёсся к открытию с недоверием.
Недавно в машинах марок Honda и Acura была обнаружена уязвимость, ставшая результатом использования статичных радиочастотных кодов в системе блокировки с комплектных брелоков. В качестве защиты тогда предлагалось использовать в автомобилях «плавающие» коды (rolling codes) — разные наборы сигналов при каждой аутентификации. Этот способ призван не позволить злоумышленнику производить повторные атаки, единожды «подслушав» правильный код.
Как выяснилось, и этот способ защиты не даёт гарантий: работающие в компании Star-V Lab специалисты по кибербезопасности обнаружили в машинах Honda уязвимость, которую назвали Rolling-PWN. Проверка «плавающих» кодов производится через счётчик — принимаются только сигналы, соответствующие его показаниям. Авторы открытия восстановили программную логику, с которой происходит повторная синхронизация счётчика, и он начинает принимать старые коды после отправки в систему сигналов на закрытие и открытие машины.
Авторы проекта опубликовали несколько видео, на которых в качестве доказательства воспроизвели процесс открытия машины, а уязвимость зарегистрировали с порядковым номером CVE-2021-46145 и рейтингом в 5,3 балла (средний). Проблема касается всех машин Honda с обновлённой системой блокировки, которую автопроизводитель начал внедрять ещё в 2012 году.
Исследователи попытались связаться с автопроизводителем, но не получили ответа. Представитель Honda отреагировал только после публикации сведений об уязвимости: «Мы изучили подобные обвинения в прошлом и пришли к выводу, что они не имеют под собой оснований. Хотя у нас ещё недостаточно информации, чтобы определить, заслуживает ли сообщение доверия, брелоки для упомянутых транспортных средств оснащены технологией плавающего кода, которая не допускает представленной в сообщении уязвимости. Кроме того, видео, предлагаемые как подтверждение уязвимости скользящего кода, не содержат достаточных доказательств в пользу сообщений».
