导读 新发现的滚动Pwn漏洞允许黑客远程解锁并启动可追溯到2012年的本田汽车的发动机。这一漏洞规避了本田实施的保障措施,更令人担忧的是,这家...
新发现的“滚动Pwn”漏洞允许黑客远程解锁并启动可追溯到2012年的本田汽车的发动机。这一漏洞规避了本田实施的保障措施,更令人担忧的是,这家汽车制造商否认“Rolling Pwn”是真正的威胁。
Rolling Pwn是常见的“重放攻击”系统的变体,该系统使用无线电接收器来拦截和记录密钥卡信号。回放时,此信号可以解锁汽车。
但有几款本田车型使用“滚动代码”随机化其密钥卡信号。这可以防止相同的密钥卡信号工作两次 - 至少,这是这个想法。正如凯文2600和Wesley Li所解释的那样,这个漏洞的发现者Rolling Pwn迫使本田汽车重置他们的“滚动代码”。它使保障措施变得毫无用处。
现在有几个视频展示了Rolling Pwn的实际应用。虽然它还没有在每辆本田汽车上进行测试,但它似乎适用于可追溯到2012年的大多数车型。正如The Drive所指出的那样,类似于Rolling Pwn的漏洞在2021年和2022年初都被记录下来。
本田没有试图警告客户这些漏洞。它告诉安全研究人员,“报告[Rolling Pwn]的最佳方式是联系客户服务,”本田发言人在给The Drive的一份声明中表示,“所引用车辆中的关键密钥卡配备了滚动代码技术,不允许报告中所代表的漏洞。
因此,如果您拥有现代本田,则可能需要与其客户服务留言。记者和独立安全研究人员都证实,Rolling Pwn是一个真正的漏洞,但本田否认它的存在。本田需要立即解决这个问题,无论是通过召回还是OTA更新。