Milioni di auto Honda potrebbero essere a rischio furto dopo la rivelazione di un nuovo rischio di hacking remoto.

I ricercatori di sicurezza dello Star-V Lab hanno scoperto una tecnica che consente a chiunque di sbloccare un veicolo, aprire le porte e persino avviare il motore utilizzando una radio portatile a causa di una vulnerabilità nel portachiavi dell'auto.

Sembra che diversi modelli Honda importanti rilasciati tra il 2012 e il 2022 siano interessati dal difetto, inclusi Accord, Civic, C-RV e X-RV.

guasto remoto honda

I ricercatori hanno collaborato con il giornalista Rob Stumpf di The Drive (si apre in una nuova scheda) per mostrare la vulnerabilità, che hanno soprannominato Rolling-PWN.

Il problema è contenuto nel meccanismo del codice variabile, incluso il sistema di accesso senza chiave (noto anche come portachiavi) per prevenire ripetuti attacchi man-in-the-middle.

Il team ha scoperto che ogni volta che viene premuto il pulsante del telecomando, aumenta la possibilità che determinati codici vengano accettati per consentire l'accesso al veicolo. Il team osserva che il ricevitore a bordo del veicolo accetta una "finestra di codici scorrevole" principalmente per impedire la pressione accidentale dei tasti.

Ad ogni pressione del pulsante il contatore di sincronizzazione rolling code viene incrementato, quindi l'invio di determinati comandi in sequenza consecutiva risincronizza il contatore aprendolo ai comandi precedenti che consentono l'accesso al veicolo.

"Il bug Rolling-PWN è una grave vulnerabilità", ha scritto il team in un post sul blog (si apre in una nuova scheda) descrivendo le loro scoperte. "Lo abbiamo trovato in una versione vulnerabile del meccanismo rolling code, che è implementato in un gran numero di veicoli Honda".

I ricercatori osservano che chiunque abbia una marca specifica di veicolo potrebbe essere a rischio e gli utenti potrebbero non essere nemmeno in grado di rilevare se il difetto è stato utilizzato contro di loro.

Avvertono anche che la minaccia potrebbe interessare veicoli di altre marche e Honda attualmente non sembra avere una soluzione o addirittura notare il problema. Gli investigatori affermano di aver tentato di presentare una denuncia, ma non sono riusciti a trovare un modo corretto per farlo, quindi hanno contattato il servizio clienti Honda.

Un portavoce della Honda ha detto a Vice (si apre in una nuova scheda) che il rapporto non era credibile e le accuse erano infondate.

"I telecomandi dei veicoli di riferimento sono dotati di una tecnologia rolling code che non consentirebbe la vulnerabilità come descritto nel rapporto", ha affermato la società.

"Inoltre, i video offerti come prova dell'assenza di un codice mobile non includono prove sufficienti per supportare le affermazioni", ha aggiunto la società.

Tramite BleepingComputer (si apre in una nuova scheda)

Condividi questo