RollingPWN漏洞曝光:黑客可遠程解鎖和啟動多款本田車型
研究人員近日發(fā)現(xiàn)了一個高危漏洞,允許黑客遠程解鎖和啟動多款本田(Honda)車型。目前本田旗下 10 款最受歡迎的車型均受到了影響�。更糟糕的是,研究人員調(diào)查認為從 2012 到 2022 年發(fā)售的所有車型可能都存在這個漏洞。
這個漏洞被安全研究人員稱之為“RollingPWN”,主要利用本田的無鑰匙進入系統(tǒng)的一個組件。目前本田的進入系統(tǒng)依賴于滾動代碼模型���,每次所有者按下 fob 按鈕時都會創(chuàng)建一個新的進入代碼。
在新進入代碼創(chuàng)建之后���,理論上此前創(chuàng)建的代碼應(yīng)該棄用以防止重放攻擊�����。不過研究人員 Kevin26000 和 Wesley Li 發(fā)現(xiàn)舊代碼可以回滾并用于獲取對車輛的不必要訪問權(quán)限�����。
研究人員對 2012-2022 年發(fā)售的多款本田車型進行了測試,均發(fā)現(xiàn)了這個漏洞���。目前經(jīng)過測試�����,已經(jīng)確認受到影響的車輛型號包括
● Honda Civic 2012
● Honda XR-V 2018
● Honda CR-V 2020
● Honda Accord 2020
● Honda Odyssey 2020
● Honda Inspire 2021
● Honda Fit 2022
● Honda Civic 2022
● Honda VE-1 2022
● Honda Breeze 2022
根據(jù)漏洞影響車型列表和成功測試情況�,Kevin26000 和 Li 堅信該漏洞可能會影響所有本田汽車,而不僅僅是上面列出的前十個���。
為漏洞提供修復(fù)可能與漏洞利用本身一樣復(fù)雜����。本田可以通過無線 (OTA) 固件更新修復(fù)該漏洞���,但許多受影響的汽車不提供 OTA 支持�����。更大的潛在受影響車輛池使得召回情況不太可能發(fā)生����。
目前���,Kevin26000 和 Li 正懷疑該漏洞是否也存在于其他車企的車輛型號中��。
來源:安全圈
在線咨詢
在線咨詢
0371-63319761