本田车主注意了,你的爱车或许同样存在安全漏洞

近日,据海外媒体报道,部分本田车型存在Rolling-PWN攻击漏洞,该漏洞可能导致汽车被远程控制解锁甚至是被远程启动。

曝本田多款车型存在安全漏洞:可被远程控制-冯金伟博客园

Rolling-PWN的基本概念跟之前针对大众汽车和特斯拉及其他设备的攻击类似,即有人使用无线电设备记录来自钥匙的合法无线电信号,然后将其传送到汽车上

曝本田多款车型存在安全漏洞:可被远程控制-冯金伟博客园

这被称为重放攻击,理论上,许多现代汽车使用rolling钥匙系统,基本上就是让每个信号只起一次作用;当按下按钮解锁汽车时,车就会解锁并且这个确切的信号不应该再次解锁。

根据研究人员发布的PWN攻击的描述,该问题存在于许多本田车型为了防止重放攻击而实施的滚动代码机制的一个版本中。

“我们在滚动代码机制的一个脆弱版本中发现了这个问题,该机制在大量的本田汽车中实施。”研究人员表示。

“无钥匙进入系统中的滚动代码系统是为了防止重放攻击,每次按下钥匙扣按钮后,滚动代码同步计数器就会增加,车辆接收器将接受一个滑动的代码窗口,以避免意外的钥匙按下的设计”

“然而,通过向本田车辆连续发送命令,它将会重新同步计数器。一旦计数器重新同步,前一个周期的计数器的命令就会再次起作用。因此,这些命令以后可以被用来随意解锁汽车。”

曝本田多款车型存在安全漏洞:可被远程控制-冯金伟博客园

研究人员还指出,利用该缺陷解锁车辆是不可能被追踪到的,因为利用该缺陷不会在传统的日志文件中留下任何痕迹。

专家们的建议是:"常见的解决方案是通过当地经销商处对涉事车型进行召回。但如果可行的话,通过空中下载技术(OTA)更新来升级有漏洞的BCM固件。然而可能存在有部分旧车型不支持OTA的问题。"

那么存在这些安全漏洞的车辆都有哪些?以下为具体车型(发布时间为2012-2022年)。

本田思域2012、本田X-RV 2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影 2022。

曝本田多款车型存在安全漏洞:可被远程控制-冯金伟博客园