7 月 14 日消息,日前外媒 The Drive 報(bào)道稱(chēng),部分本田車(chē)型存在 Rolling-PWN 攻擊漏洞,該漏洞可能導(dǎo)致汽車(chē)被遠(yuǎn)程控制解鎖甚至是被遠(yuǎn)程啟動(dòng),受影響的車(chē)型包括 2012 年本田思域、2018 年本田 X-RV、2020 年本田 C-RV、2020 年本田雅閣等。
IT之家了解到,在外媒的報(bào)道中,本田方面發(fā)表聲明回應(yīng)稱(chēng),已對(duì)類(lèi)似指控進(jìn)行調(diào)查,并未發(fā)現(xiàn)實(shí)質(zhì)性漏洞。“雖然我們還沒(méi)有足夠的信息來(lái)確定相關(guān)漏洞報(bào)告是否可信,但上述車(chē)輛的鑰匙配備了滾動(dòng)代碼技術(shù),不可能出現(xiàn)外界所說(shuō)的漏洞。”本田方面表示。
然而,博主 ROB STUMPF 通過(guò)驗(yàn)證發(fā)現(xiàn),這一漏洞確實(shí)能夠解鎖和啟動(dòng)車(chē)輛,但攻擊者無(wú)法開(kāi)走車(chē)輛。
現(xiàn)據(jù)每日經(jīng)濟(jì)新聞報(bào)道,7 月 13 日,本田中國(guó)相關(guān)負(fù)責(zé)人回應(yīng)此事稱(chēng):“我們已經(jīng)關(guān)注到相關(guān)報(bào)道,經(jīng)確認(rèn),報(bào)道中所指出的漏洞,利用復(fù)雜的工具和技術(shù)手段,的確可以通過(guò)模擬遠(yuǎn)程無(wú)鑰匙指令,獲取車(chē)輛訪問(wèn)權(quán)限。但即便技術(shù)上可行,這種特殊的攻擊方式需要近距離接近車(chē)輛,并連續(xù)多次捕捉無(wú)線鑰匙發(fā)送給汽車(chē)的 RF 信號(hào)。但即便可以打開(kāi)車(chē)門(mén),智能鑰匙不在車(chē)內(nèi)的話也無(wú)法開(kāi)走車(chē)輛。”該負(fù)責(zé)人還表示,“在投放新產(chǎn)品時(shí),本田也致力于定期提升車(chē)輛的安全性能,以防止此種或類(lèi)似的情況發(fā)生。”
據(jù)悉,此次安全問(wèn)題在于本田重復(fù)使用數(shù)據(jù)庫(kù)中的解鎖驗(yàn)證代碼,使得黑客能夠通過(guò)及時(shí)捕捉并重放汽車(chē)鑰匙發(fā)送的代碼來(lái)解鎖車(chē)輛,該漏洞被業(yè)內(nèi)人員稱(chēng)為 Rolling-PWM。如果連續(xù)通過(guò)鑰匙向本田車(chē)輛發(fā)送命令,安全系統(tǒng)中的計(jì)數(shù)器將重新同步,使得前一個(gè)命令數(shù)據(jù)再次有效,該數(shù)據(jù)如果被記錄可以在日后隨意解鎖車(chē)輛。
【來(lái)源:IT之家】
