Para ahli mendemonstrasikan cara membuka kunci beberapa model Honda melalui serangan Rolling-PWN

idNSA.id - Berita buruk bagi pemilik beberapa model Honda, kerentanan Rolling-PWN Attack dapat memungkinkan membuka kunci kendaraan. Sebuah tim peneliti keamanan Kevin2600 dan Wesley Li dari Star-V Lab secara independen menemukan cacat pada model Honda, bernama kerentanan Serangan Rolling-PWN (CVE-2021-46145).

Sistem remote keyless entry (RKE) memungkinkan membuka kunci atau menghidupkan kendaraan dari jarak jauh. Para peneliti menguji sistem remote keyless entry (RKE) yang memungkinkan untuk membuka kunci atau memulai kendaraan dari jarak jauh dan menemukan masalah serangan Rolling-PWN. Menurut para ahli, masalah tersebut mempengaruhi semua kendaraan Honda di pasar (Dari Tahun 2012 hingga Tahun 2022).

Eksploitasi yang berhasil dari cacat ini dapat memungkinkan penyerang untuk membuka pintu mobil secara permanen atau bahkan menyalakan mesin kendaraan. Masalahnya terletak pada versi mekanisme rolling code yang diterapkan di banyak model Honda untuk mencegah serangan replay.

“Kami menemukannya dalam versi yang rentan dari mekanisme rolling code, yang diterapkan di sejumlah besar kendaraan Honda. Sistem rolling code dalam sistem keyless entry adalah untuk mencegah serangan replay. Setelah setiap tombol keyfob ditekan, penghitung sinkronisasi rolling code meningkat. Namun, penerima kendaraan akan menerima sliding window code, untuk menghindari kunci yang tidak disengaja ditekan oleh desain. membaca deskripsi Serangan Rolling Pwn yang dipublikasikan di GitHub. “Dengan mengirimkan perintah secara berurutan ke kendaraan Honda, akan melakukan sinkronisasi ulang penghitung. Setelah penghitung disinkronkan ulang, perintah dari siklus penghitung sebelumnya bekerja kembali. Oleh karena itu, perintah itu dapat digunakan nanti untuk membuka kunci mobil sesuka hati. ”

Para ahli berhasil menguji serangan terhadap 10 model kendaraan Honda paling populer dari Tahun 2012 hingga Tahun 2022, di antaranya: Honda Civic 2012, Honda X-RV 2018, Honda C-RV 2020, Honda Accord 2020, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, Honda Civic 2022, Honda VE-1 2022, Honda Breeze 2022. Para peneliti juga menerbitkan satu set video PoC, di bawah ini adalah serangan terhadap Honda CRV:

Para peneliti menunjukkan bahwa tidak ada kemungkinan untuk mengetahui apakah seseorang telah mengeksploitasi cacat terhadap model karena eksploitasi tidak meninggalkan jejak dalam file log tradisional. Lalu bagaimana cara memperbaiki masalah?

“Solusi umum mengharuskan kita membawa kendaraan kembali ke dealer lokal sebagai penarikan. Tetapi strategi mitigasi yang disarankan adalah memutakhirkan firmware BCM yang rentan melalui Pembaruan Over-the-Air (OTA) jika memungkinkan. Namun, beberapa kendaraan lama mungkin tidak mendukung OTA.” Rekomendasi para ahli.