Autókat törtek fel az etikus hackerek

​Etikus hackereknek sikerült olyan módszert alkalmazniuk egyes Honda gépkocsik vizsgálatakor, amik révén könnyedén tudták nyitni a zárt autókat.
 

A gépkocsik egyre gyakrabban kerülnek a biztonsági szakemberek látókörébe, így az etikus hackerek is mind nagyobb kedvvel vetik bele magukat a modern autók sérülékenységvizsgálatába. Mindez nem véletlen, hiszen minél több szoftveres komponens kerül a járművekbe, annál nagyobb valószínűséggel csúszik be egy-egy biztonsági rés, amely egyrészt a gépkocsi lopásvédelmét, vagy még rosszabb esetben a menetbiztonságot is alááshatja.
 
Ezúttal egy olyan hackelésről érkeztek hírek, amely a gépkocsik feltörését segítheti a tolvajok számára. Wesley Li etikus hacker és társa (Kevin2600) úgy gondolták, hogy a Honda gépkocsik lopásvédelmét veszik górcső alá. A sebezhetőségi vizsgálataikat során egyebek mellett Rolling-PWN technikát alkalmaztak, amely eredményre is vezetett, mivel meglehetősen kis eszközigény mellett sikerült megkerülniük a vizsgált autók egyik biztonsági rendszerét.
 
A kutatók elmondták, hogy sok korszerű jármű folyamatosan változó, véletlenszerűen generált kódokkal egészíti ki az ajtónyitási folyamatokat. Ennek az a célja, hogy megnehezítsék az visszajátszásos (replay) és a közbeékelődéses (man-in-the-middle) támadásokat. Az autó pedig tárolja a korábbi kódokat, és egy kódot csak egyszer fogad el, legalábbis ideális esetben.
 
A szóban forgó támadás alapjául az szolgált, hogy a fehérkalapos hackerek arra jöttek rá, hogy az érintett gépkocsik esetenként elfogadnak olyan kódokat is, amelyek korábban már használatban voltak, azaz nem lehetnének érvényesek. Ezen kódok visszajátszásával az autók nyithatóvá váltak, tulajdonképpen időkorlát nélkül. A hackerek pedig nem tettek mást, mint egy SDR (software-defined radio) eszközzel lehallgatták a tesztelt autók és a kulcs közötti kommunikációt, majd azt visszajátszották.
 
Fontos megjegyezni, hogy a kidolgozott hackelési technika kizárólag az autó nyitására alkalmas, arra már nem, hogy a motor is beindíthatóvá váljon. Ehhez ugyanis szükség van arra, hogy a kulcs a gépjármű közelében legyen.
 
Az etikus hackerek módszere az alábbi típusok esetében volt működőképes:

• Honda C-RV 2020
• Honda Accord 2020
• Honda Odyssey 2020
• Honda Inspire 2021
• Honda Fit 2022
• Honda Civic 2022
• Honda VE-1 2022
• Honda Breeze 2022

 
A két etikus hacker jelezte a felfedezést a Honda számára, de kezdetben semmiféle visszajelzést nem kaptak. Aztán később reagált a gyártó, de úgy vélte, hogy a hackerek által átadott információk és videók nem szolgáltattak elég bizonyítékot a sérülékenység létezésére, és a gördülőkódos technológia kellő védelmet nyújt a hasonló támadások ellen.
 
Amennyiben mégis beigazolódna, hogy a probléma létezik, akkor a Honda szoftverfrissítéssel tudja majd orvosolni a sebezhetőséget.