Als u een recente Honda bezit, kunt u beter een stuurwielvergrendeling krijgen. Dat komt omdat een recent gepubliceerde aanval dieven in staat stelt motoren te starten en deuren van Honda-voertuigen te openen met behulp van codes van afstandsbedieningen zonder sleutel. Allemaal. De Honda-hack heeft een naam:'Rolling PWN'. We vertellen je wat het is en hoe je jezelf kunt beschermen tegen deze vorm van autodiefstal.
De National Vulnerability Database noemt de hack een "Counter resynchronization attack" en heeft deze CVE-2021-46145 toegewezen. In zijn eenvoudigste vorm stelt de hack autodieven in staat om een eerdere geldige code te bekijken die is gebruikt vanaf een keyfob. Vervolgens worden de codes opnieuw naar de auto gestuurd. Dit zet de interne pseudo-willekeurige nummergenerator of PRNG-teller terug naar voordat de geldige code werd gebruikt.
Op deze manier kunnen de dieven de reeks eerder geldige opeenvolgende codes herhalen om een Honda-deur te openen. Wat de hackers nodig hebben, zijn die oudere geldige sleutels. Hiervoor kunnen ze een logboekapparaat aan de auto bevestigen om geldige codes te verzamelen. Ze kunnen ook een logger in de buurt van de Honda plaatsen. Hoe dan ook, in de loop van een paar dagen kunnen dieven de geldige codes zien en deze opnieuw afspelen om de auto te hacken.
Blake Berry en Ayyappan Rajesh vonden de hack oorspronkelijk, volgens BleepingComputer. Het vastleggen van codes om opnieuw te verzenden om verschillende dingen te doen, was een andere ontdekking. Door te "flippen" en vervolgens de Lock-code opnieuw te verzenden, konden de twee onderzoekers een Honda Civic ontgrendelen.
De onderzoekers ontdekten in 2019 een vergelijkbare Honda-kwetsbaarheid. Deze kreeg NVD-nummer CVE-2019-20626 toegewezen. Nadat ze Honda of America op de hoogte hadden gebracht, ontdekten ze dat het bedrijf naar verluidt geen beveiligingsupdates of fixes had doorgevoerd. En de onderzoekers boden zelfs een oplossing.
Door "rolling codes" te gebruiken, zijn nieuwe codes nodig om aan authenticatieverzoeken te voldoen. Het gebruik van oudere geldige codes werkt niet. Maar we begrijpen dat Honda's voor 2021 en hoger nu rolling codes gebruiken.
Honda heeft van zijn kant geen plan om het probleem aan te pakken. Het vertelde BleepingComputer:"Honda is op dit moment niet van plan om oudere voertuigen bij te werken." Honda stelt ook dat dieven andere methoden gebruiken om auto's te stelen en dat deze hightech-aanpak, die niet is geverifieerd, gebruik maakt van geavanceerde apparatuur waar de meeste dieven geen toegang toe hebben.
Er zijn manieren waarop u kwetsbaarheden in sleutelhangers kunt tegengaan. Je kunt ze opbergen in een Faraday-zakje dat fungeert als signaalblokker. Koopt u een nieuwe auto, dan kunt u kiezen voor een Passive Keyless Entry System. Met PKE of 'smart key' kunt u deuren dicht bij elkaar sluiten en ontgrendelen, zonder dat u op de deur- of keyfob-knoppen hoeft te drukken. Een hacker zou dicht bij de PKE-bron moeten zijn om vergrendel- of ontgrendelingscodes vast te leggen.