Honda minimiza vulnerabilidade permitindo que hackers bloqueiem, desbloqueiem e iniciem o Civics

A Honda disse que não tem planos de atualizar seus veículos mais antigos depois que pesquisadores divulgaram uma prova de conceito para CVE-2022-27254– uma vulnerabilidade de repetição que afeta o sistema remoto sem chave no Honda Civics feita entre 2016 e 2020.

Os pesquisadores divulgaram uma análise detalhada do problema no GitHub , compartilhando vários vídeos mostrando que o sistema remoto sem chave em vários veículos Honda envia o mesmo sinal de radiofrequência não criptografado para cada comando de abertura de porta, fechamento de porta, inicialização e inicialização remota. O pesquisador de segurança cibernética Ayyappan Rajesh descobriu a vulnerabilidade e trabalhou com o desenvolvedor Blake Berry, seu mentor e diretor de segurança da Cybereason Sam Curry, bem como seus professores Ruolin Zhou e Hong Liu da Universidade de Massachusetts Dartmouth.

“Isso permite que um invasor escute a solicitação e realize um ataque de repetição”, explicaram os pesquisadores. 

Os pesquisadores disseram que os modelos LX, EX, EX-L, Touring, Si e Type R do Honda Civic são afetados pelo problema. Eles usaram várias ferramentas amplamente disponíveis, incluindo um SDR HackRF One, um laptop, uma conta noFCCID.io, acesso ao software de receptor de rádio definido por software Gqrx e a um kit de ferramentas de desenvolvimento GNURadio.

Tudo o que um hacker precisa fazer é estar por perto quando o proprietário de um carro usar seu chaveiro e gravar o sinal que ele transmite. Uma vez gravado, pode ser usado para abrir o carro ou ligá-lo. 

Os pesquisadores há muito alertam sobre esses tipos de ataques e outras vulnerabilidades semelhantes foram destacadas no passado. A página do NIST para CVE-2022-27254 vincula a questão a CVE-2019-20626, uma vulnerabilidade semelhante que afeta os veículos Honda HR-V 2017. 

Os pesquisadores disseram que os fabricantes devem implementar códigos de rolamento, também conhecidos como códigos de salto. 

“É uma tecnologia de segurança comumente usada para fornecer um novo código para cada autenticação de um sistema de entrada sem chave remota (RKE) ou entrada sem chave passiva (PKE)”, disseram os pesquisadores, pedindo aos consumidores que usem uma bolsa Faraday de bloqueio de sinal para seus porta-chaves. 

“Use o PKE em oposição ao RKE, isso tornaria significativamente mais difícil para um invasor clonar/ler o sinal devido à proximidade que eles precisariam estar para fazer isso.”

Eles observaram que as precauções não são infalíveis e que, se alguém já foi vítima do ataque, a única mitigação é redefinir seu chaveiro na concessionária. Não há evidências de que a vulnerabilidade tenha sido explorada na natureza, disseram os pesquisadores, mas o The Record não pode confirmar isso de forma independente.

‘Não é uma nova descoberta’

Quando contatado sobre esta questão pelo The Record, o porta-voz da Honda, Chris Martin, afirmou que “não é uma nova descoberta” e “não merece mais relatórios”. 

Martin confirmou que “a tecnologia herdada utilizada por várias montadoras” pode ser vulnerável a “ladrões determinados e tecnologicamente muito sofisticados”.

“A Honda não verificou as informações relatadas pelos pesquisadores e não pode confirmar se seus veículos são vulneráveis ​​a esse tipo de ataque. A Honda não tem planos de atualizar veículos mais antigos neste momento”, disse Martin. 

“É importante notar que, enquanto a Honda melhora regularmente os recursos de segurança à medida que novos modelos são introduzidos, ladrões determinados e tecnologicamente sofisticados também estão trabalhando para superar esses recursos. Além disso, o acesso a um veículo sem outros meios para dirigir o veículo, embora de natureza de alta tecnologia, não oferece aos ladrões uma vantagem muito maior do que as formas mais tradicionais e certamente mais fáceis de entrar em um veículo. E não há indicação de que o tipo de dispositivo em questão seja amplamente utilizado.” 

Martin disse ao The Record que, se iniciado remotamente, os veículos Acura e Honda não podem ser conduzidos até que um chaveiro válido com um chip imobilizador separado esteja presente no veículo. Ele acrescentou que “não há indicação de que a vulnerabilidade relatada nas travas das portas tenha resultado na capacidade de realmente dirigir um veículo Acura ou Honda”.

O engenheiro técnico sênior da Vulcan Cyber, Mike Parkin, disse que os códigos rolantes foram desenvolvidos, em parte, para lidar com a enxurrada de abridores de portas suscetíveis a ataques simples.

“A surpresa é que qualquer grande fabricante implementaria um sistema de abertura remota inseguro. Existem vários ataques teóricos contra os controles remotos atuais, alguns dos quais foram mostrados em forma de prova de conceito”, disse Parkin. 

“Isso se soma aos ataques existentes contra controles remotos mais antigos. O desafio é como a Honda lidará com esse problema, já que não há uma correção simples de software para chaveiros físicos e carros que nunca foram projetados para esse tipo de atualização de firmware – se é que pode ser corrigido por software.”

Outros especialistas, como Chris Clements, do Cerberus Sentinel, disseram que o ataque é ainda pior do que a falha “rolljam” que o pesquisador de segurança Samy Kamkar demonstrou em 2015

Esta vulnerabilidade mais recente dá aos hackers acesso indefinido para controlar a funcionalidade de um carro específico.

Clements também discordou da resposta da Honda à vulnerabilidade, observando que o abandono dos fabricantes de corrigir problemas de segurança em dispositivos completamente funcionais “será um grande problema”.

“É semelhante a gritar sua senha em uma sala e esperar que ninguém esteja ouvindo. Sim, alguém tem que estar perto o suficiente para ouvir e saber o que fazer com isso, mas depois disso é muito simples de explorar”, disse Clements. 

“À medida que mais e mais dispositivos adicionam funções ‘inteligentes’, é inevitável que sejam descobertas vulnerabilidades que colocam esses dispositivos ou dados em risco. Se não houver patch disponível ou pior, nem mesmo um mecanismo para corrigir, os usuários terão que escolher entre correr o risco de exploração ou destruir o dispositivo vulnerável, nenhuma das quais é uma situação ideal.”

Fonte: https://therecord.media/