Jutaan mobil Honda berisiko dicuri menyusul terungkapnya risiko peretasan jarak jauh baru.
Peneliti keamanan dari Star-V Lab telah menemukan teknik yang memungkinkan siapa saja untuk membuka kunci kendaraan, membuka pintu, dan bahkan menyalakan mesin menggunakan radio genggam karena kerentanan pada keyfob mobil.
Sejumlah model Honda terkemuka yang dirilis antara 2012 dan 2022 tampaknya terpengaruh oleh kekurangan tersebut, termasuk Accord, Civic, C-RV dan X-RV.
Kekurangan remot honda
Para peneliti telah bekerja sama dengan jurnalis Rob Stumpf dari Drive (terbuka di tab baru) untuk memamerkan kerentanan, yang mereka juluki Rolling-PWN.
Masalah ini terkandung dalam mekanisme kode bergulir, termasuk dalam sistem entri tanpa kunci (alias keyfob) untuk mencegah serangan ulang “man-in-the-middle”.
Tim menemukan bahwa setiap kali tombol keyfob ditekan, itu meningkatkan kemungkinan kode tertentu diterima untuk memberikan akses ke kendaraan. Tim mencatat bahwa penerima di dalam kendaraan menerima “jendela geser kode” terutama untuk menghindari penekanan tombol yang tidak disengaja.
Setiap kali tombol ditekan, penghitung sinkronisasi kode bergulir meningkat, sehingga dengan mengirimkan perintah tertentu secara berurutan, penghitung akan melakukan sinkronisasi ulang, membukanya hingga perintah sebelumnya yang dapat digunakan untuk mengakses kendaraan.
“Bug Rolling-PWN adalah kerentanan serius,” tulis tim dalam posting blog (terbuka di tab baru) menguraikan temuannya. “Kami menemukannya dalam versi yang rentan dari mekanisme kode bergulir, yang diterapkan di sejumlah besar kendaraan Honda.”
Para peneliti mencatat bahwa siapa pun dengan merek kendaraan tertentu dapat berisiko, dan pengguna bahkan mungkin tidak dapat mendeteksi jika cacat telah digunakan untuk melawan mereka.
Mereka juga memperingatkan bahwa ancaman tersebut dapat mempengaruhi kendaraan dari merek lain, dan bahwa Honda saat ini tampaknya tidak memiliki perbaikan, atau bahkan memperhatikan masalah tersebut. Para peneliti mencatat bahwa mereka telah mencoba untuk mengajukan laporan, tetapi tidak dapat menemukan cara yang tepat untuk melakukannya, jadi mereka menghubungi Layanan Pelanggan Honda.
Seorang juru bicara Honda mengatakan kepada Keburukan (terbuka di tab baru) bahwa laporan itu tidak kredibel dan tuduhan itu tidak berdasar.
“Fobs kunci dalam kendaraan yang dirujuk dilengkapi dengan teknologi kode bergulir yang tidak akan memungkinkan kerentanan seperti yang ditunjukkan dalam laporan,” kata perusahaan itu.
“Selain itu, video yang ditawarkan sebagai bukti tidak adanya kode bergulir tidak menyertakan bukti yang cukup untuk mendukung klaim tersebut,” tambah perusahaan itu.
Melalui BleepingComputer (terbuka di tab baru)
