Investigadores de seguridad han descubierto una forma de desbloquear y arrancar de forma remota una amplia variedad de vehículos Honda utilizando un exploit que apunta a los llaveros de los vehículos.
Honda ha intentado ignorar las afirmaciones, pero el truco parece ser bastante fácil de reproducir.
Incluso un reportero de The Drive logró probar el exploit y pirateó con éxito su propio automóvil.
Los investigadores dicen que no hay forma de protegerse contra el pirateo y no hay forma de determinar si le sucedió a usted.
El ataque, que se ha denominado “Rolling Pwn“, apunta a un error en el sistema de entrada remota sin llave de Honda, explotando la forma en que los vehículos transmiten códigos de autenticación entre el automóvil y el llavero.
Usando hardware fácilmente adquirible, los investigadores pudieron espiar digitalmente y capturar esos códigos, y luego volver a implementarlos a voluntad.
Esto les permitió desbloquear y arrancar fácilmente los automóviles afectados por la vulnerabilidad, que incluía modelos desde 2012 hasta 2022.
Bastante inquietante, no parece haber ninguna solución para este problema.
Se ingresó un registro de vulnerabilidades y exposiciones comunes (CVE), pero no lista un parche.
Peor aún, los investigadores escriben que no hay forma de saber si alguien apuntó a su automóvil con el exploit, ya que “la explotación no deja ningún rastro en los archivos de registro tradicionales“.
En otras palabras, alguien podría ejecutar el exploit, revisar su automóvil, llevarlo a dar una vuelta, estacionarlo donde lo dejó y, a menos que lo atrape, no tendría forma de saber que sucedió algo, excepto por un sospechosamente tanque bajo de gasolina.
El problema fue descubierto por un investigador seudónimo que se hace llamar “Kevin2600” y su socio de investigación, Wesley Li.
La investigación se parece mucho, pero difiere ligeramente, de la investigación de amenazas sobre una vulnerabilidad similar de Honda que se descubrió en marzo.
Los investigadores de “Rolling Pwn” escriben:
“El objetivo de nuestra investigación fue evaluar la resistencia de un sistema RKE [entrada remota sin llave] moderno.
Nuestra investigación reveló una vulnerabilidad de ataque Rolling-PWN que afecta a todos los vehículos Honda que existen actualmente en el mercado (desde el año 2012 hasta el año 2022)”, escribieron los investigadores.
“Esta debilidad permite que cualquier persona abra permanentemente la puerta del automóvil o incluso arranque el motor del automóvil desde una gran distancia”.
La investigación identifica los siguientes modelos como vulnerables al exploit: Honda Civic 2012, Honda X-RV 2018, Honda C-RV 2020, Honda Accord 2020, Honda Accord 2021, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, 2022 Honda Civic, 2022 Honda VE-1, 2022 Honda Breeze.
Sin embargo, otros vehículos además de Honda también podrían verse afectados, escriben los investigadores.
Rob Stumpf, de The Drive, probó el exploit por sí mismo y compartió un video del arranque del auto secuestrado:
Desafortunadamente, Honda no parece estar tomando la investigación demasiado en serio.
Kevin2600 dice que contactó a Honda sobre la vulnerabilidad y le dijeron que se pusiera en contacto con el servicio de atención al cliente.
Cuando Vice News se comunicó con ellos, la compañía aparentemente les envió un comunicado en el que afirmaba que la investigación era una “noticia vieja“.
Un portavoz de la compañía le dijo al medio:
“Hemos investigado acusaciones similares anteriores y descubrimos que carecen de sustancia.
Si bien aún no tenemos suficiente información para determinar si este informe es creíble, los llaveros de los vehículos a los que se hace referencia están equipados con tecnología de código variable que no permitiría la vulnerabilidad representada en el informe.
Además, los videos ofrecidos como evidencia de la ausencia de código rodante no incluyen evidencia suficiente para respaldar los reclamos…”
“Como era de esperar, Honda negó que el error exista. Así que la mejor suerte para todos los propietarios de Honda 😛”, tuiteó el investigador, luego de la publicación de la historia de Vice.
Fuente: Gizmodo