Una coppia di ricercatori ha scovato una vulnerabilità piuttosto grave nel software che gestisce alcuni modelli di auto a marchio Honda. La falla, identificata come CVE-2022-27254, permette potenzialmente a un malintenzionato di accedere al veicolo e di muoverlo, senza forzarne le serrature e senza disporre delle chiavi, in modalità wireless.
Honda: il bug che ti apre e accende la macchina
Il principio di funzionamento dell’attacco è quello che intercetta il segnale di radiofrequenza trasmesso dalla chiave del proprietario per poi manipolarlo e simularlo con un sistema realizzato ad hoc. La dimostrazione con lo sblocco delle portiere ripreso nel filmato qui sotto.
Con la seconda clip, i ricercatori mostrano come sia possibile anche avviare il motore e così, potenzialmente, allontanarsi indisturbati a bordo dell’auto.
Stando alle informazioni rilasciate, i modelli interessati sono quelli prodotti dal 2016 al 2020 della linea Civic (LX, EX, EX-L, Touring, Si, Type R).
Non è la prima vulnerabilità di questo tipo a essere scoperta. Nel 2020 la stessa coppia di ricercatori ne aveva individuata una simile (CVE-2019-20626), sempre su auto Honda anche a marchio Acura. Nel gennaio 2022 ha fatto lo stesso un altro addetto ai lavori, come si può leggere nel tweet qui sotto. Qualche anno fa abbiamo scritto su queste pagine di un problema pressoché identico riguardante le Tesla.
So plus the one [CVE-2021-46145] I found a few months ago, we now have at least 3 CVEs related to Honda https://t.co/HoVahGCbtA Well done! @Honda :p
— Kevin2600 (@Kevin2600) March 24, 2022
Il produttore, dal canto suo, sembra non aver alcuna intenzione di correggere il problema, almeno sui modelli più vecchi. È quanto riferito alla redazione del sito BleepingComputer.
In questo momento, sembra che i dispositivi funzionino solo nelle estreme vicinanze o a ridosso dei veicoli bersaglio, richiedendo la ricezione locale dei segnali audio trasmessi dal proprietario del veicolo all’apertura e all’accensione. Honda, al momento, non ha pianificato un aggiornamento dei veicoli più datati.
Come limitare i danni di un eventuale attacco? In assenza di un update o di un upgrade da parte della società, i ricercatori suggeriscono di conservare le proprie chiavi in una custodia di tipo Faraday Pouch quando non in uso, in modo da bloccare qualsiasi tentativo di intercettare il segnale trasmesso.