ИБ-эксперты утверждают, что в работе механизма скользящего кода в автомобилях Honda присутствует баг, благодаря которому можно перехватить и повторно использовать коды, которые передаются от брелока к автомобилю. Это позволяет разблокировать авто и даже удаленно запустить двигатель. Интересно, что в Honda существование этой уязвимости отрицают.
Проблему, которая получила название Rolling-PWN, обнаружили специалисты Kevin2600 и Уэсли Ли (Wesley Li). Они пишут и демонстрируют на видео, что успешно протестировали свою атаку на самых разных моделях Honda, в том числе выпущенных в период с 2021 по 2022 год. Оказалось, что, в числе прочих, проблеме подвержены:
- Honda Civic 2012
- Honda X-RV 2018
- Honda C-RV 2020
- Honda Accord 2020
- Honda Odyssey 2020
- Honda Inspire 2021
- Honda Fit 2022
- Honda Civic 2022
- Honda VE-1 2022
- Honda Breeze 2022
Суть уязвимости заключается в реализации скользящего кода, которую использует Honda. Так, система бесключевого доступа практически во всех современных автомобилях основана на скользящих кодах, создаваемых генератором псевдослучайных чисел, что гарантирует использование уникальных строк при каждом нажатии на кнопку брелока.
Скользящий код применяется для предотвращения replay-атак и атак типа man-in-the-middle. В более старых моделях авто подобные проблемы присутствуют до сих пор, и не далее чем в марте текущего года в системах Honda уже находили уязвимость перед replay-атаками.
Исследователи объясняют, что в случае Rolling-PWN, в автомобилях есть специальный счетчик, который проверяет хронологию сгенерированных кодов, увеличивая номер с каждым новым кодом. Проблема состоит в том, что «в работу» принимаются и нехронологические коды (на тот случай, если произошло случайное нажатие на кнопку брелока или автомобиль находился вне зоны действия).
Оказалось, что счетчик в автомобилях Honda синхронизируется повторно, когда машина получает команды блокировки/разблокировки в жесткой последовательности. В итоге автомобиль может принимать коды предыдущих сеансов, которые уже должны были быть признаны недействительными.
Таким образом, злоумышленник, вооружившийся SDR, может перехватить последовательность кодов и воспроизвести их позже, чтобы поможет ему разблокировать автомобиль или запустить его двигатель.
Уязвимость получила идентификатор CVE-2021-46145 и описывается как проблема, «связанная с неработающим скользящим кодом и повторной синхронизацией счетчика» брелоков Honda. Когда баг был раскрыт в декабре 2021 года (1, 2), исследователи тестировали его на Honda Civic 2012 года выпуска, но позже выяснилось, что проблема затрагивает и более новые модели.
Автомобильный журналист Роб Штумпф (Rob Stumpf) пишет, что сумел воспроизвести Rolling-PWN на своей Honda Accord 2021 года. На страницах издания The Drive он объясняет, что не имеет значения, прошел ли с момента перехвата кода день или долгие месяцы, злоумышленник все равно сможет повторно синхронизировать счетчик и выполнить разблокировку.
При этом Штумпф отмечает, что даже если злоумышленник успешно воспользовался Rolling-PWN и завел чужую Honda, он все же не сможет угнать авто, так как для этого брелок должен находиться поблизости. Сама атака Rolling-PWN при этом работает на расстоянии до 30 метров.
Интересно, что исследователи пытались уведомить Honda об уязвимости с прошлого года, однако сначала они не смогли найти контакт для сообщения о проблемах с безопасностью, затем отправили свой отчет в службу поддержки клиентов Honda, но в результате так и не получили ответа.
Связаться с представителями автопроизводителя удалось журналистам издания Vice Motherboard. В компании заявили, что отчет экспертов выглядел неправдоподобно, а их заявления не обоснованы.
«Мы изучили прошлые подобные заявления и пришли к выводу, что они не обоснованы. Хотя пока у нас недостаточно информации, чтобы определить, заслуживает ли доверия этот отчет, брелоки в упомянутых автомобилях оснащены технологией скользящего кода, которая не допускает [существования] уязвимости, описанной в отчете. Кроме того, видеоролики, которые [исследователи] предлагают в качестве доказательств отсутствия скользящего кода, не содержат достаточных доказательств в пользу их утверждений», — заявили представители Honda.
UPD
Представители Honda сообщили изданию SecurityWeek, что в компании все же признают существование данной проблемы, хотя и не считают ее особенно серьезной, ведь для угона машины брелок все же дожжен присутствовать в автомобиле.
«Мы можем подтвердить корректность заявлений исследователей о том, что использование сложных инструментов и технических ноу-хау для имитации команд Remote Keyless позволяет получить доступ к некоторым нашим автомобилям. И хотя технически это возможно, мы хотим заверить наших клиентов в том, что данный вид атак требует непрерывного перехвата нескольких последовательных сигналов с близкого расстояния и не может быть использован для угона транспортного средства», — заявил автопроизводитель.
Также в компании отметили, что все время улучшают безопасность в новых моделях авто, но обновлять старые автомобили не планируется.
