Milioni di auto Honda (e non solo) potrebbero essere a rischio di furto a causa di un nuovo hack capace di clonare i codici generati dal meccanismo di apertura del telecomando.
I ricercatori di Star-V Lab hanno scoperto una tecnica che consente di sbloccare, aprire le portiere e persino avviare il motore di alcuni veicoli con l'ausilio di una radio portatile, grazie a una vulnerabilità che risiede nel telecomando di apertura dell'auto.
Tra i veicoli vulnerabili compaiono una serie di autovetture Honda uscite tra il 2012 e il 2022, tra cui alcuni modelli molto diffusi come Accord, Civic, C-RV e X-RV.
Un difetto del telecomando?
I ricercatori hanno collaborato con il giornalista di The Drive, Rob Stumpf, per dimostrare la vulnerabilità battezzata "Rolling-PWN".
Da quanto emerso, il problema risiede nel meccanismo di generazione dei codici rolling (da cui il nome dell'hack) e interessa il sistema di accesso senza chiave; questo sarebbe infatti vulnerabile ad un certo tipo di attacchi "man in the middle".
Il team di ricerca ha scoperto che ad ogni attivazione del sistema di accesso da remoto tramite l'apposito telecomando, aumentano le possibilità che determinati codici vengano riconosciuti come validi garantendo l'accesso al veicolo.
Ogni volta che si attiva il pulsante, il contatore di sincronizzazione dei codici rolling viene incrementato e, inviando determinati comandi in sequenza, questo si risincronizza con i codici precedenti (quelli utilizzati per l'ultimo avvio o apertura), che possono essere quindi utilizzati per accedere nuovamente al veicolo.
Il team di ricerca afferma che "Il bug Rolling-PWN è una grave vulnerabilità" spiegandone i motivi in un post. "L'abbiamo trovato (il bug) in una versione vulnerabile del telecomando che genera i codici rolling e viene utilizzato da una grande quantità di veicoli Honda".
- Prime Day 2022: migliori offerte, data, come funziona
I ricercatori fanno dunque notare che chiunque possieda un veicolo Honda recente potrebbe essere a rischio. Nono solo, lo studio ha rilevato che la minaccia potrebbe colpire anche i veicoli di altri produttori, e che Honda non sembra avere una soluzione al problema del quale, al momento, conosce ben poco.
Nell'ambito di un'intervista con la rivista Vice, un portavoce di Honda ha dichiarato che "la notizia non è credibile e che le accuse sono infondate".
"I portachiavi dei veicoli in questione sono dotati di una tecnologia rolling code che non consente la vulnerabilità descritta nel rapporto", ha dichiarato l'azienda.
"Inoltre, i video mostrati come prova non includono elementi sufficienti per supportare le affermazioni", ha aggiunto il portavoce Honda.
Fonte: BleepingComputer