Una vulnerabilidad gigante y muy peligrosa fue descubierta por investigadores, ya que comprobaron el hackeo de llaveros de los autos Honda, para manejarlos y controlarlos de forma remota.
El ataque «Rolling-Pwn«, descubierto por los investigadores de seguridad de Star-V Lab Kevin2600 y Wesley Li, explota una vulnerabilidad en la forma en que el sistema de entrada sin llave de Honda transmite los códigos de autenticación entre el automóvil y el llavero.
Esto es básicamente utilizando equipos de radio fácilmente comprables, los investigadores pudieron espiar y capturar los códigos, luego transmitirlos al automóvil para obtener acceso.
Esto permitió a los investigadores desbloquear y arrancar de forma remota los motores de los automóviles afectados por la vulnerabilidad, que incluye modelos desde 2012 y tan recientes como 2022. Pero según The Drive, que probó y verificó de forma independiente la vulnerabilidad en un Honda Accord 2021, la falla del llavero no permite que un atacante se vaya con el vehículo.
Como señalaron los investigadores, este tipo de ataque debe prevenirse mediante el mecanismo de códigos rodantes del vehículo, un sistema introducido para prevenir ataques de repetición al proporcionar un nuevo código para cada autenticación de una entrada remota sin clave.
« Al enviar los comandos en una secuencia consecutiva a los vehículos Honda, se resincronizará el contador», escriben los investigadores. «Una vez que el contador se resincronizó, los comandos del ciclo anterior del contador volvieron a funcionar. Por lo tanto, esos comandos se pueden usar más tarde para desbloquear el automóvil a voluntad».
Honda desmiente falla
«Hemos investigado acusaciones similares en el pasado y encontramos que carecen de sustancia», dijo un portavoz de Honda. «Si bien aún no tenemos suficiente información para determinar si este informe es creíble, los llaveros en los vehículos de referencia están equipados con tecnología de código rodante que no permitiría la vulnerabilidad representada en el informe. Además, los videos ofrecidos como evidencia de la ausencia de código rodante no incluyen evidencia suficiente para respaldar las afirmaciones».