黑客远程解锁和启动多款本田(Honda)车型

VSole2022-07-10 14:06:49

研究人员近日发现了一个高危漏洞,允许黑客远程解锁和启动多款本田(Honda)车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是,研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。

这个漏洞被安全研究人员称之为“RollingPWN”,主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型,每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建之后,理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。

研究人员对 2012-2022 年发售的多款本田车型进行了测试,均发现了这个漏洞。目前经过测试,已经确认受到影响的车辆型号包括

● Honda Civic 2012

● Honda XR-V 2018

● Honda CR-V 2020

● Honda Accord 2020

● Honda Odyssey 2020

● Honda Inspire 2021

● Honda Fit 2022

● Honda Civic 2022

● Honda VE-1 2022

● Honda Breeze 2022

根据漏洞影响车型列表和成功测试情况,Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车,而不仅仅是上面列出的前十个。

为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞,但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。

目前,Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。

本田日本汽车
本作品采用《CC 协议》,转载必须注明作者和本文链接
近日,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。
本田是一家日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的车主不受影响。本田暴露给安全研究人员的敏感信息如下:从2016年8月到2023年3月的所有经销商的21393份客户订单——包括客户姓名、地址、电话号码和订购的物品信息。此外,通过访问本田经销商站点,攻击者可以植入信用卡浏览器或其他恶意JavaScript代码段。黑客可以编辑本田经销商站点页面内容
近日“日本丰田汽车公司因零部件供应商受到网络攻击关闭工厂”事件再次霸屏网络,这已不是关于日本丰田汽车公司的第一次网络安全事件。2019年3月,日本丰田汽车公司遭受“海莲花”入侵,导致多达130万客户数据泄露;2020年6月,日本本田遭受勒索病毒攻击,导致美国部分工厂停产。此次日本丰田汽车公司的零部件供应商遭受网络攻击,导致日本丰田汽车3月1日关闭其在日本的所有工厂,此次停工影响了14家工厂的28
2020年已逐渐离我们远去,网络安全形势依然严峻,网络安全问题大家也越来越重视,以下是2020年发生在国内外的重要网络安全事件,供大家学习参考。 国内篇 一、土耳其“图兰军”对我国网站发起攻击 2020年1月21日,土耳...
昨日,丰田因零部件供应商受到“勒索软件”攻击,停止在日所有工厂运行。
安全分区、纵深防护、统一监控
产品市场不仅覆盖中国国内,还远销到欧洲、澳洲、日本、美国等100多个国家和地区。再次,灵活的终端管理、中心管理模块也是用户选择“火绒终端安全管理系统”的重要原因。针对制造企业各部门间信息交流频繁的情况,系统可灵活定制安全策略和容灾备份方案,支持多中心、分组管理,有效解决多部门安全管理协同等问题。
安全威胁情报周报
2022-01-08 07:00:40
恶意Telegram安装程序分发Purple Fox恶意软件 近日,一个桌面版的恶意 Telegram 安装程序正在分发 Purple Fox 恶意软件,以在受感染设备上安装更多恶意负载。尚不清楚恶意软件的分发方式,但冒充合法软件的类似恶意软件活动已通过 YouTube 视频、论坛垃圾邮件和可疑软件站点分发。
网络攻击十大目标行业:政府、通讯、银行、IT、酒店、航空、汽车、医疗、学校、关基。
VSole
网络安全专家