【安全圈】RollingPWN漏洞曝光：黑客可远程解锁和启动多款本田车型

安全圈 2022-12-13

关键词

黑客、漏洞、远程控制

研究人员近日发现了一个高危漏洞，允许黑客远程解锁和启动多款本田（Honda）车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是，研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。

这个漏洞被安全研究人员称之为“RollingPWN”，主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型，每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建之后，理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。

研究人员对 2012-2022 年发售的多款本田车型进行了测试，均发现了这个漏洞。目前经过测试，已经确认受到影响的车辆型号包括

● Honda Civic 2012

● Honda XR-V 2018

● Honda CR-V 2020

● Honda Accord 2020

● Honda Odyssey 2020

● Honda Inspire 2021

● Honda Fit 2022

● Honda Civic 2022

● Honda VE-1 2022

● Honda Breeze 2022

根据漏洞影响车型列表和成功测试情况，Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车，而不仅仅是上面列出的前十个。

为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞，但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。

目前，Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。

END

阅读推荐

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！