La laguna en los autos Honda permite que cualquiera abra las puertas o encienda el motor

Altavoz inteligente Echo Dot

Un grupo de investigadores de seguridad ha revelado una vulnerabilidad en el sistema de llave remota de los autos Honda que permitiría a un tercero abrir puertas y arrancar el motor. La escapatoria está en un sistema de generación de códigos de verificación creado precisamente para prevenir otro tipo de ataques, pero que tiene una falla lógica que terminó permitiendo la explotación.

  • Más de la mitad de las aplicaciones de automóviles no oficiales usan datos sin permiso
  • Las industrias automovilísticas se convierten en blanco de ciberataques y robo de datos

La prueba de concepto presentada por los expertos Wesley Li y Kevin2600 habría sido probada en decenas de modelos, la mayoría de ellos lanzados entre 2021 y 2022. Sin embargo, los autos Honda lanzados hasta 2012 serían susceptibles a la vulnerabilidad, según la lista divulgada por el responsable:

  • Honda Cívico 2012
  • Honda X-RV 2018
  • Honda C-RV 2020
  • Honda Accord 2020
  • Honda Odisea 2020
  • Honda inspirar 2021
  • Honda Fit 2022
  • Honda Cívico 2022
  • Honda VE-1 2022
  • Honda brisa 2022

El secreto de la exploración reside en un sistema de generación de números de verificación, los llamados rolling codes, que se utilizan cada vez que se pulsa la tecla. Originalmente, se implementó para evitar que los ataques man in the middle interceptaran códigos de autenticación fijos, agregando un carácter de aleatoriedad al uso de dispositivos remotos.


Feedly: suscríbete a nuestro canal RSS y no te pierdas ningún contenido de TecnoBreak en tu agregador de noticias favorito.

El sistema tiene un aspecto cronológico, con un recuento de códigos que aumenta con el tiempo y sirve para invalidar los antiguos. Lo que la pareja de investigadores encontró, sin embargo, es que los comandos consecutivos para bloquear y abrir las puertas del vehículo hacen que este contador se vuelva a sincronizar, en caso de presiones accidentales o cuando el automóvil está fuera de rango, permitiendo que los valores de las sesiones anteriores se vuelvan a aceptar. — si son capturados por terceros, podrían usarse para manipular el vehículo.

La vulnerabilidad se registró como CVE-2021-46145 y se consideró de gravedad media, pero aún así merece atención porque está presente incluso en modelos más recientes. La prueba de concepto ha sido validada por periodistas automotrices y otros colegas en la industria de la seguridad digital, a pesar de que el fabricante de automóviles, en un comunicado oficial, negó la laguna.

¿Qué dice Honda?

En un comunicado enviado a Vice, el fabricante de automóviles dijo que el informe de los investigadores hace acusaciones infundadas y poco confiables, ya que la tecnología de código variable no permite este tipo de explotación. La compañía también dijo que los videos presentados no brindan evidencia suficiente del problema.

El dúo de investigadores dijo que habían tratado de notificar a Honda sobre el problema antes de que se lanzara la actualización del concepto, pero no recibieron una respuesta ni ubicaron un espacio dedicado para informar problemas de seguridad. También señalan que la falla sería difícil de solucionar, ya que requeriría una actualización física del firmware vulnerable, ya que algunos de los modelos más antiguos mencionados no permiten que la actualización se realice de forma remota.

Lea el artículo sobre TecnoBreak.

Tendencia en TecnoBreak:

  • Nace bebé con cuatro brazos y cuatro piernas en India
  • 5 razones para NO comprar el Chevrolet Spin
  • La forma en que duermes puede protegerte de enfermedades neurodegenerativas
  • El Porsche más negro del mundo se convierte en la «trampa mortal» de Japón
  • ¡Sin precedentes! Científicos encuentran anaconda mutante en Belém

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart