首页 科技内容详情
新2手机管理端网址(www.hg108.vip):Rolling-PWN 攻击可远程解锁Honda汽车

新2手机管理端网址(www.hg108.vip):Rolling-PWN 攻击可远程解锁Honda汽车

分类:科技

标签: # 新闻

网址:

SEO查询: 爱站网 站长工具

点击直达

新2手机管理端网址www.hg108.vip)实时更新发布最新最快最有效的新2手机管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

Rolling-PWN 攻击可远程解锁Honda汽车,10年内车型都受影响。

Rolling-PWN 概述

目前,许多车型都配备了远程无钥匙进入系统(RKE)。远程无钥匙进入系统允许远程解锁或启动车辆。为评估远程无钥匙进入系统的鲁棒性,研究人员对RKE系统进行了研究,并发现一个Rolling-PWN攻击漏洞,漏洞CVE编号为CVE-2021-46145。攻击者利用该漏洞可以在远距离远程打开车门或启动汽车,该漏洞影响2012到2022年十年间的所有Honda车型。

Rolling-PWN漏洞是一个非常严重的漏洞。研究人员发现了一个有漏洞的rolling code(滚动码)机制版本,而该版本在大量Honda汽车上进行了实现。无钥匙进入系统的rolling code系统的目的是预防重放攻击。Keyfob按钮没按一次,rolling code同步计数器就会增加。但车辆接收器会接收code的滑动窗口,以预防意外按键。连续发送命令给honda汽车后,就会重新同步计数器。计数器重新同步后,之前计数器周期内的命令仍然可以工作。因此,这些命令可以之后用于解锁车辆。

PoC

研究人员在2012到2022年Honda生产的最流行的10款车型上做了测试,发现所有被测车辆都受到该漏洞的影响,包括:

Honda Civic 2012

Honda X-RV 2018

Honda C-RV 2020

Honda Accord 2020

Honda Odyssey 2020

Honda Inspire 2021

Honda Fit 2022

Honda Civic 2022

Honda VE-1 2022

,

皇冠足球网址www.99cx.vip)实时更新发布最新最快最有效的皇冠足球网址,包括皇冠手机网址,皇冠备用网址,皇冠最新网址,皇冠足球网址,皇冠网址大全。

,

Honda Breeze 2022

因此,研究人员得出结论,该漏洞影响2012年到2022年的所有Honda车辆。同时该漏洞也影响其他使用有漏洞版本rolling code的车辆。

PoC视频如下所示:

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-CRV.mp4

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-Accord.mp4

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-Odyssey.mp4

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-XRV.mp4

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-Inspire.mp4

https://rollingpwn.github.io/rolling-pwn/video/Demo-Video-Field-Test.mp4

可以看出,keyfob多次按下后,仍然可以重复打开车门。也就是说,rolling code机制被成功攻破了。

如何检测?

该漏洞利用不会在日志文件上留下任何痕迹,因此无法检测。

修复建议

研究人员建议通过OTA方式对有漏洞的固件进行更新。但部分老车型并不支持OTA更新。

研究人员在Honda官网并未发现任何提交漏洞的入口,可能Honda并没有专门处理产品网络信息安全问题的部门。研究人员已经联系客户服务部门提交了漏洞报告,目前尚未收到任何回复。

本文翻译自:https://rollingpwn.github.io/rolling-pwn/
 当前暂无评论,快来抢沙发吧~

发布评论