Brecha em carros da Honda permite que qualquer um abra portas ou ligue o motor

Felipe Demartini

12 de julho de 2022 2:20 PM

Um grupo de pesquisadores em segurança revelou uma vulnerabilidade no sistema de chave remota dos carros da Honda que permitiria a abertura de portas e o acionamento do motor por terceiros. A brecha está em um sistema de geração de códigos de verificação criado, justamente, para impedir outros tipos de ataques, mas que possui uma falha lógica que acabou permitindo a exploração.

A prova de conceito apresentada pelos especialistas Wesley Li e Kevin2600 teria sido testada em dezenas de modelos, com a maioria deles lançados entre 2021 e 2022. Entretanto, carros da Honda lançados até em 2012 estariam suscetíveis à vulnerabilidade, de acordo com a lista divulgada pelos responsáveis:

Honda Civic 2012
Honda X-RV 2018
Honda C-RV 2020
Honda Accord 2020
Honda Odyssey 2020
Honda Inspire 2021
Honda Fit 2022
Honda Civic 2022
Honda VE-1 2022
Honda Breeze 2022

O segredo da exploração está em um sistema de geração de números de verificação, os chamados rolling codes, que são usados a cada vez que o botão da chave é pressionado. Originalmente, ele foi implementado para impedir que ataques de man in the middle interceptassem códigos fixos de autenticação, adicionando um caráter de aleatoriedade ao uso dos dispositivos remotos.

Heads up, Honda owners—security researchers found a vulnerability in many new Hondas that can allow someone to unlock and start the car without its keys. It's been dubbed "Rolling Pwn," and here's our @RobDrivesCars demonstrating how it works.

Full story: https://t.co/W7ZNjziS2Z pic.twitter.com/2c0xNbrxoi
— The Drive (@thedrive) July 11, 2022

O sistema possui um aspecto cronológico, com uma contagem de códigos que aumenta ao longo do tempo e serve para invalidar os antigos. O que a dupla de pesquisadores descobriu, entretanto, é que comandos consecutivos de travar e abrir as portas dos veículos faz com que esse contador seja ressincronizado, em caso de pressionamentos acidentais ou quando o carro está fora do alcance, permitindo que valores de sessões antigas voltem a ser aceitos — se capturados por terceiros, então, eles poderiam ser usados para manipular o veículo.

A vulnerabilidade foi cadastrada como CVE-2021-46145 e considerada de média severidade, mas ainda assim, merece atenção por estar presente até mesmo em modelos mais recentes. A prova de conceito foi validada por jornalistas automotivos e outros pares da indústria de segurança digital, apesar de a montadora, em comunicado oficial, ter negado a brecha.

O que diz a Honda

Em pronunciamento enviado à Vice, a montadora afirmou que o relatório dos pesquisadores traz alegações infundadas e sem credibilidade, com a tecnologia de rolling codes não permitindo esse tipo de exploração. A empresa disse ainda que os vídeos apresentados não trazem provas suficientes do problema.

A dupla de pesquisadores disse ter tentado notificar a Honda sobre o problema antes da divulgação da preova de conceito, mas não ter recebido resposta nem localizado um espaço dedicado à comunicação de problemas de segurança. Eles apontam, ainda, que a falha seria de difícil correção, já que exigiria uma atualização física do firmware vulnerável, pois alguns dos modelos mais antigos citados não permitem que o update seja feito remotamente.

Fonte: Canaltech

Trending no Canaltech:

Yahoo Finanças
Dia dos Pais: Veja dicas para não cair em golpe com Pix
‘Parabéns, você ganhou!’, informa mensagem de página fraudulenta que pede chave Pix
há 5 horas
Yahoo Finanças
Confira dicas para fugir de golpes com vagas de emprego
Criminosos elaboram vagas falsas para conseguir dados pessoais das vítimas ou até extorqui-las
há 46 minutos
BBC News Brasil
‘Parece leite, mas não é’: como crise 'empobreceu' a fórmula dos produtos lácteos do Brasil
Misturas com soro de leite, amido, gordura vegetal, açúcar e aditivos químicos ‘invadiram’ as prateleiras dos supermercados e são confundidas com os produtos ‘tradicionais’. Entenda o que está por trás da mudança e o que ela pode significar no bolso, na saúde e no preparo de receitas.
há 5 horas
Originais do Yahoo
Livro sobre parentalidade ajuda na educação dos filhos e na vida profissional, diz CEO do Gympass
Priscila Siqueira, líder do Gympass no Brasil, tem reduzido o consumo de bebeidas alcoólicas nos momentos de lazer, mas aprecia vinho no seu happy hour. Além das atividades físicas indoor, Priscila gosta de pedalar ao ar livre e, recentemente, aderiu à onda de beach tennis.  Entre os livros recomendados por ela está o “Parentalidade Consciente: Como o autoconhecimento nos ajuda a criar nossos filhos”, de Daniel Siegel e Mary Hartzell. “Ajuda também na vida profissional, porque mostra como lidar com esse diferente não só em casa, mas no trabalho também. Hoje no Gympass as pessoas são super jovens”, afirma a executiva.
há 2 dias
Business Wire
Dubai Electricity and Water Authority PJSC anuncia receita de AED 12,08 bilhões e lucro líquido de 3,30 bilhões no primeiro semestre de 2022
DUBAI, Emirados Árabes Unidos, August 13, 2022--Dubai Electricity and Water Authority PJSC (ISIN: AED001801011) (Símbolo: DEWA), a fornecedora exclusiva de serviços de eletricidade e água do Emirado de Dubai, listada no Mercado Financeiro de Dubai (DFM), divulgou hoje seus resultados financeiros do segundo trimestre de 2022, registrando receita trimestral de AED 7,01 bilhões e lucro líquido de AED 2,61 bilhões. Para o primeiro semestre de 2022, a receita da DEWA é de AED 12,08 bilhões e o lucro
há 4 horas
Yahoo Finanças
Justiça do Rio reconhece vínculo empregatício de entregador com iFood
O magistrado diz que a empresa criou obrigações no âmbito da liberdade contratual e que conferiu contornos próprios ao contrato pactuado
há um dia
Yahoo Finanças
Colégio de SP tem educação financeira como disciplina obrigatória
Matéria está presente em toda a jornada educacional da instituição
há 7 horas
Yahoo Finanças
Colômbia e Canadá estão interessados no Pix, diz presidente do BC
"Acho que podemos expandir o Pix pelo menos na América Latina em um primeiro momento", disse Campos Neto
há 8 horas
Reuters
Brasil autoriza parceria com iniciativa privada na exploração de minérios nucleares
SÃO PAULO (Reuters) - O governo brasileiro publicou nesta sexta-feira Medida Provisória que permite a participação da iniciativa privada na exploração de minérios nucleares no país por meio de parceria com uma empresa estatal brasileira, com o objetivo de reduzir custos. Atualmente, as atividades de pesquisa, lavra, enriquecimento, industrialização e comércio de minérios nucleares e derivados são exercidas exclusivamente pela Indústrias Nucleares do Brasil S.
há 23 horas
Yahoo Finanças
Taxa de desemprego cai no Rio de Janeiro, aponta IBGE
Taxa de desemprego teve queda em 22 das 27 unidades federativas entre abril e junho
há 7 horas
Yahoo Finanças
Europa tem interesse na SpaceX, de Elon Musk, para substituir foguetes russos
Japão e Índia estão entre os possíveis países supridores de lançadores
há 2 horas
Yahoo Finanças
'Periferia do metaverso': internet está inconformada com termo usado por especialista
é um termo criado para se referir a um
há um dia
Reuters
B3 vê maiores chances de vitória em disputa de R$14 bi com Carf
SÃO PAULO (Reuters) - A B3 sinalizou nesta sexta-feira otimismo para vencer uma disputa bilionária com o Conselho Administrativo de Recursos Fiscais (Carf) envolvendo cerca de 14 bilhões de reais em multas relativas a impostos ligados à fusão BM&F;/Bovespa. Falando a analistas em teleconferência sobre os resultados do segundo trimestre, o diretor executivo financeiro e de relações com investidores da companhia, André Milanez, referiu-se a um julgamento em andamento no Supremo Tribunal Federal (S
há um dia
Yahoo Finanças
Portabilidade de dívidas de aposentados pelo consignado pode ter juros menores
A nova credora entrará em contato com a original para acertar os termos da transferência
há um dia
Yahoo Finanças
Google lança recursos para combater desinformação nas pesquisas; entenda
Buscador informará sobre fontes confiáveis, resultados rasos e diminuirá destaques de trechos
há um dia
Reuters
Dólar recua ante real após salto da véspera e caminha para nova baixa semanal
SÃO PAULO (Reuters) - O dólar passava a cair frente ao real nesta sexta-feira, fazendo uma pausa depois de avançar expressivamente na sessão anterior, enquanto o foco de investidores permanecia sobre os próximos passos de política monetária do Federal Reserve, em dia de agenda doméstica fraca. Às 10:17 (de Brasília), o dólar à vista recuava 0,86%, a 5,1155 reais na venda, rondando as mínimas do dia, em movimento caracterizado por alguns participantes do mercado como um ajuste, depois que a moeda
há um dia
Yahoo Finanças
Receita iniciará negociação de dívidas com descontos em setembro
Devedores poderão apresentar à Receita suas propostas de negociação de débitos que ainda estão em fase administrativa de cobrança
há um dia
Business Wire
Chicago Booth lança um novo programa de educação executiva para ajudar as empresas a se tornarem organizações centradas em tecnologia e acelerar o crescimento dos negócios
CHICAGO, August 13, 2022--Nada testou mais a capacidade de resposta digital das empresas em escala global do que a pandemia. As organizações que adotaram uma estratégia ágil e conseguiram dar uma resposta digital resistiram à crise, o que não ocorreu com aquelas que não mudaram sua abordagem. À medida que o mundo supera a pandemia, os líderes estão auditando os pontos fortes e fracos da tecnologia de suas empresas para implementar estratégias para combater perturbações futuras.
há 7 horas
Yahoo Finanças
5G: Ativação da rede vai atrasar em algumas capitais; veja se a sua está na lista
Anatel estendeu o prazo e 15 cidades podem esperar até 27 de novembro
há um dia
Reuters
S&P 500 e Nasdaq têm 4ª semana seguida de alta com otimismo crescente
NOVA YORK(Reuters) - Wall Street fechou em alta nesta sexta-feira, com os índices S&P; 500 e Nasdaq registrando a quarta semana consecutiva de ganhos, conforme sinais de que a inflação pode ter atingido o pico em julho aumentaram a confiança de investidores de que um mercado em alta ("bull market") pode estar em curso. O S&P; 500 saltou 17,7% em relação à mínima de meados de junho, com os ganhos mais recentes patrocinados nesta semana por dados mostrando aumento mais lento do que o esperado no í
há um dia

O que diz a Honda

Artigos mais recentes