热门资讯

影响所有本田车型!Rolling-PWN漏洞可使攻击者远程解锁、启动汽车

资讯 作者:看雪学院 2022-07-11 20:53:27 阅读:298

编辑:左右里


近日,Star-V实验室的安全研究员Kevin2600和Wesley Li揭示了本田汽车中的一个Rolling-PWN攻击漏洞(CVE-2021-46145),利用该漏洞可使攻击者远距离永久解锁车门,甚至启动汽车发动机。

这个漏洞源自本田汽车的遥控门禁系统(RKE,Remote Keyless Entry),该系统允许远程解锁或启动车辆。研究人员对该系统进行测试,发现存在Rolling-PWN攻击问题。

攻击原理:遥控门禁系统(RKE)中的滚动码系统用于防止重放攻击,每次按下遥控钥匙按钮,滚动码同步计数器会随之增加。但是,设计上车辆接收器会接受滑动窗口代码,以避免意外按键。通过连续向本田汽车发送命令,它将重新同步计数器。当计数器重新同步后,来自计数器上一个周期的命令再次工作。因此,之后可以使用这些命令随意解锁汽车。


研究人员已经对2012年到2022年的10种最受欢迎的本田车型成功进行了测试:
  · Honda Civic 2012
  · Honda X-RV 2018
  · Honda C-RV 2020
  · Honda Accord 2020
  · Honda Odyssey 2020
  · Honda Inspire 2021
  · Honda Fit 2022
  · Honda Civic 2022
  · Honda VE-1 2022
  · Honda Breeze 2022

并且,研究人员相信该漏洞会影响目前市面上从2012年到2022年的所有本田车型。研究人员还表示,虽然本次研究的主要目标是本田汽车,但有证据表明,这种漏洞的影响也适用于其他汽车制造商。

对于如何解决此问题,研究人员给出了一些建议:
常见的解决方案是将车辆带回当地经销商处进行召回,但鉴于影响范围之广不太现实。推荐的缓解策略是在可行的情况下通过无线 (OTA) 更新来升级易受攻击的 BCM 固件。但是有个问题是一些旧车可能不支持OTA。

研究人员已向本田报告了这一问题,目前尚未得到答复。



资讯来源:https://rollingpwn.github.io/rolling-pwn/

转载请注明出处和本文链接



每日涨知识

MySQL

一种开放源代码的关系型数据库管理系统(RDBMS),使用最常用的数据库管理语言——结构化查询语言(SQL)进行数据库管理。该服务可能存在弱口令、暴力破解等风险。



推荐文章++++

加强管束科技巨头!欧盟以压倒性票数通过新数字监管法案
伊朗大型钢铁公司IT系统遭网络攻击
乌克兰人损失2262万元!一犯罪团伙通过经济援助钓鱼网站实施诈骗
HackerOne内部员工窃取漏洞报告
RansomHouse团伙声称从AMD窃取了450GB的数据
涉案金额超8800万美元!Avaya员工因销售盗版许可证被起诉
CafePress因数据保护不力被罚款50万美元








球分享

球点赞

球在看



“阅读原文一起来充电吧!

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 SSLHUB 立场
本文由 看雪学院发表,转载此文章须经作者同意,并请附上出处( SSLHUB )及本页链接。
原文链接 https://www.sslhub.cn/freessl/news/1846.html
#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
猜你喜欢
赞助链接

电话:188-8877-1003

邮箱:Sales@knowsafe.com

地址:四川省成都市高新南区天府大道北段1700号

时间:周一到周日: 早9点 – 晚12点

数字证书产品
单域名证书
多域名证书
代码签名
通配符
数字证书品牌
TrustAsia
Digicert
GeoTrust
GlobalSign
CFCA
24/7帮助中心
技术支持
常见问题
关于我们
关于我们
联系我们
iTrust