Systemy dostępu bezkluczykowego to z pewnością wygodne rozwiązanie. Niestety, przynosi on również problemy związane z bezpieczeństwem, co potwierdza luka odkryta w oprogramowaniu samochodów marki Honda.
Wygoda niekoniecznie idzie w parze z bezpieczeństwem
Z pewnością wiele osób słyszała o metodzie „kradzieży na walizkę”, na którą podatne są samochody wyposażone w system bezkluczykowy. Przestępcy, po przechwyceniu sygnału, mogą nie tylko otworzyć samochód, ale również uruchomić silnik. Wszystko to bez konieczności posiadania fizycznego kluczyka, a nawet bez używania siły, aby otworzyć drzwi. Samochód zachowuje się wówczas prawie tak samo, jakby podszedł do niego właściciel z kluczykiem.
Nie tylko ten, obecnie dość popularny, system posiada poważne luki w zabezpieczeniach. Ostatnio mogliśmy przeczytać o podatności wykrytej w Teslach, która wykorzystuje funkcję dostępu do samochodu za pomocą Bluetooth. Tutaj również mamy do czynienia z rozwiązaniem mającym podnieść komfort użytkowania pojazdu, ale niestety – otwiera ono nowe możliwości kradzieży przestępcom.
Kolejne odkrycie badaczy ds. bezpieczeństwa potwierdza, że wygoda niekoniecznie idzie w parze z bezpieczeństwem. Tym razem poważną lukę znaleziono w autach marki Honda.
Problem dotyczy wielu samochodów Hondy
Badacze Kevin2600 i Wesley Li w opublikowanym raporcie RollingPWN wyjaśniają, że odkryta luka ma związek z systemem bezkluczykowym. Ma ona dotyczyć samochodów Honda, które pojawiły się na rynku od 2012 roku – praktycznie większości nowych modeli. Cóż, nie brzmi to zbyt dobrze.
Okazuje się, że system dostępu bezkluczykowego w Hondach wykorzystuje mechanizm Rolling Code, który przypisuje nowe kody za każdym razem, gdy właściciel używa kluczyka. W teorii powinno to sprawić, że każde kolejne użycie blokuje możliwość wykorzystania starych kodów. Niestety, poprzednio użyte ciągi znaków nie są w pełni blokowane.
Badacz bezpieczeństwa Kevin26000 zauważył, że możliwe jest wymazanie starych kodów oraz użycie ich ponownie, aby odblokować drzwi, a także uruchomić silnik. Należy zaznaczyć, że taki atak można przeprowadzić w odległości do 30 metrów, a jego użycie nie pozostawia żadnych śladów.
Z wykorzystaniem specjalnego urządzenia możliwe jest przechwycenie ostatnio użytego kodu i wykorzystanie go do zapewnienia dostępu do samochodu. Z obecnych informacji wynika, że auta marki Honda nie mają żadnego stosownego zabezpieczenia, które zablokowałoby możliwość przeprowadzenia opisywanego ataku.
Według badaczy, japońska firma ma dwie możliwości, aby usunąć usterkę. Pierwsza z nich to wycofanie pojazdów i wezwanie ich na akcję serwisową, ale ze względu na liczbę samochodów, może być trudne do zrealizowania. Natomiast druga opcja to wydanie odpowiedniej poprawki w ramach aktualizacji OTA, ale tutaj pojawia się kolejny problem – wiele aut, w których występuje luka, nie wspiera aktualizacji OTA. Patowa sytuacja!