T, 29.11.2022

Turvaeksperdid näitasid, kuidas kaugligipääsuga Honda autodesse lihtsasti sisse murda

tehnika.postimees.ee
Turvaeksperdid näitasid, kuidas kaugligipääsuga Honda autodesse lihtsasti sisse murda
Facebook Messenger LinkedIn Twitter
Comments
Foto: Kaader videost / Pierluigi Paganini / Youtube

Kaugligipääsuga ehk eemalt auto avamine on ammugi turvaekspertidele ja häkkeritele huvi pakkunud, nüüd leiti turvaauk paljudest Honda mudelitest, mille uksi saab avada ning isegi mootorit käivitada eemalt, raadio teel. Rolling-PWN nimelise turvaaugu avastasid kaks eksperti sõltumatult.

Võimaluse võltsitud signaaliga Honda mudeleid avada leidsid turvaeksperdid Kevin2600 (Twitteri kasutaja) ning Wesley Li Star-V Lab´ist. Rolling-PWN rünnak kasutab ära  turvaauku koodnimega CVE-2021-46145, mis avastati juba mõned kuud tagasi Honda 2012. aasta mudelite juures, kuid mida ära kasutades õnnestub nüüd peaaegu iga uuema kaugjuhtitava puldiga Honda lukust lahti teha, kirjutab Hackaday.com.

Suurim viga, mille tootja tegi, oli raadioeetris teatud kordade tagant muutumatu koodi kasutamine, millega saab hiljem võtme signaali imiteerides ust uuesti avada.

Rolling-PWN meetodil võib olla võimalik rünnata teisigi automarke, oletavad turvaaugu avastajad, sellepärast ongi selle nimeks Rolling-PWN, mitte Honda-PWN. Seni pole muude autotootjate juurest samasugust viga leitud.

Varem pealtkuulatud lukustus-/avamiskäsklusi Hondale spetsiaalses järjestuses taasesitades sünkroniseerib auto oma loenduri. Kui loendur on uuesti taaskäivitatud, saab eelmise tsükli käske uuesti esitada. Kuidas see täpsemalt käib, on tehniliselt lahti seletatud siin.

Youtube´i on postitatud ka video, kui lihtsalt õnnestub ekspertidel auto avamine vastava seadmega:

Rolling-PWN-i on teised juba katsetanud ja postitanud oma videoid mitmete Hondade avamisest:

Eksperdid katsetasid korduvate koodidega rünnet kümnel Honda populaarsel mudelil alates 2012. kuni 2022. aasta väljalaskeni, täpsemalt olid veast puudutatud järgmised isendid:

  • Honda Civic 2012
  • Honda X-RV 2018
  • Honda C-RV 2020
  • Honda Accord 2020
  • Honda Odyssey 2020
  • Honda Inspire 2021
  • Honda Fit 2022
  • Honda Civic 2022
  • Honda VE-1 2022
  • Honda Breeze 2022

Kas seda turvaviga on juba mõnel autol kurjasti ära kasutatud, selle kohta arvavad eksperdid Kevin2600 ja Wesley Li, et seda pole võimalik kindlaks teha, sest mingit jälge niimoodi ukse avamisest ei jää.

Mida saab teha sellise turvaaugu kõrvaldamiseks?

Tavaliselt kutsub autotootja veast puudutatud autod tagasi ja teeb neile vajaliku tarkvarauuenduse. Mõnikord saab auto ja puldi püsivara uuendada üle õhu (nn OTA - Over the Air) ehk kui sõiduk on internetti ühendatud, võib tarkvarauuenduse teha eemalt ilma autot kohalikku esindusse viimata. Vanematel mudelitel ei pruugi aga seda võimalust olla. Kas Honda selle veaga midagi ette võtab, pole teada, sest nagu kirjutab Hackaday.com, pole sel aastal leitud varasematele turvaaukudele tootja reageerinud.

Märksõnad
Tagasi üles