[ad_1]
Pesquisadores de segurança e A unidade‘s Rob Stumpf recentemente postou vídeos deles mesmos desbloquear e iniciar remotamente vários veículos Honda usando rádios portáteis, apesar da insistência da empresa de que os carros tenham proteções de segurança destinadas a impedir que os invasores façam exatamente isso. Segundo os pesquisadores, esse hack é possível devido a uma vulnerabilidade no sistema de entrada sem chave em muitas Hondas feitas entre 2012 e 2022. Eles apelidado a vulnerabilidade Rolling-PWN.
O conceito básico do Rolling-PWN é semelhante aos ataques que vimos antes usados contra VWs e Teslas, bem como outros dispositivos; usando equipamento de rádio, alguém grava um sinal de rádio legítimo de um chaveiro e o transmite de volta para o carro. É chamado de ataque de repetição, e se você está pensando que deveria ser possível se defender contra esse tipo de ataque com algum tipo de criptografia, você está certo. Em teoria, muitos carros modernos usam o chamado sistema de chave rolante, basicamente fazendo com que cada sinal funcione apenas uma vez; você aperta o botão para destravar seu carro, seu carro destrava, e aquele sinal exato não deveria nunca destravar seu carro novamente.
Mas como Jalopnik aponta, nem toda Honda recente tem esse nível de proteção. Os pesquisadores também encontraram vulnerabilidades em que Hondas surpreendentemente recentes (2016 a 2020 Civics, especificamente) usaram um sinal não criptografado que não muda. E mesmo aqueles que possuem sistemas de código rolante – incluindo o CR-V 2020, Accord e Odyssey, diz Honda à Vice – podem estar vulneráveis ao ataque recentemente descoberto. O web page da Rolling-PWN tem vídeos do hack sendo usado para desbloquear esses veículos de código rolante, e Stumpf conseguiu… bem, praticamente pwn um acordo de 2021 com o exploit, ligando seu motor remotamente e depois desbloqueando-o.
Honda disse A unidade que os sistemas de segurança que coloca em seus chaveiros e carros “não permitiriam que a vulnerabilidade representada no relatório” fosse executada. Em outras palavras, a empresa diz que o ataque não deveria ser possível – mas claramente é de alguma forma. Pedimos à empresa um comentário sobre A unidade‘s, que foi publicado na segunda-feira, mas não respondeu imediatamente.
De acordo com o web page Rolling-PWN, o ataque funciona porque é capaz de ressincronizar o contador de códigos do carro, o que significa que ele aceitará códigos antigos – basicamente, porque o sistema foi construído para ter algumas tolerâncias (para que você possa usar sua entrada sem chave mesmo se o botão for pressionado uma ou duas vezes enquanto você estiver longe do carro, e assim o carro e o controle remoto permanecerem sincronizados), seu sistema de segurança pode ser derrotado. O web page também afirma que afeta “todos os veículos Honda atualmente existentes no mercado”, mas admite que só foi testado em alguns anos de modelo.
Ainda mais preocupante, o web page sugere que outras marcas de carros também são afetadas, mas é vago nos detalhes. Embora isso me deixe nervosamente olhando para o meu Ford, na verdade provavelmente é uma coisa boa – se os pesquisadores de segurança estão seguindo os procedimentos padrão de divulgação responsável, eles devem entrar em contato com as montadoras e dar a elas a possibility de resolver o problema antes que os detalhes sejam divulgados. De acordo com Jalopnikos pesquisadores entraram em contato com a Honda, mas foram instruídos a registrar um relatório com o atendimento ao cliente (o que não é realmente uma prática de segurança padrão).
[ad_2]
Fonte da Notícia: www.theverge.com
:strip_icc()/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2022/B/w/V0ZXhZRoek1XdLKxr5LQ/elon-musk-reuters.png "Elon Musk é processado por acionistas por atraso na divulgação de participação no Twitter | Tecnologia")
