A violação remota do keyfob pode expor Hondas da última década a ataques

Apesar da garantia da Honda de que os carros possuem proteções de segurança que deveriam impedir os invasores de fazê-lo, especialistas em segurança, incluindo Rob Stumpf, do The Drive, produziram recentemente gravações mostrando-se desbloqueando e iniciando remotamente vários automóveis Honda usando rádios portáteis. Esse hack é viável devido a uma falha no mecanismo de entrada sem chave de muitos Hondas fabricados entre 2012 e 2022, segundo especialistas. A vulnerabilidade foi chamada Rolling-PWN.

Usando equipamento de rádio, um invasor captura um sinal de rádio legal de um chaveiro e o transmite de volta ao veículo. Este é um princípio simples que vimos utilizado contra VWs e Teslas, bem como outros dispositivos. Os ataques de repetição podem ser combatidos usando criptografia, e você estaria correto se presumisse que era viável protegê-los. O sistema “rolling key”, como é conhecido, é uma característica comum em muitos automóveis atuais, o que significa que cada sinal só pode ser usado uma vez; se você apertar um botão para destravar seu carro, seu carro será destravado e aquele sinal não poderá ser usado novamente.

No entanto, como Jalopnik aponta, esse grau de segurança não está disponível em todos os Honda contemporâneos. Uma falha foi descoberta em Hondas de 2016 a 2020 (particularmente os Civics) que empregam um sinal não criptografado que não varia, de acordo com pesquisadores. Uma descoberta recente mostrou que mesmo certos veículos que usam sistemas de código rolante, inclusive como o 2020 CV, Accord e Odyssey, podem ser suscetíveis a esse novo assalto. É possível ver o hack em ação no site da Rolling, PWN’s e Stumpf o usaram para… bem, basicamente criar um dos carros de código rolante usando a vulnerabilidade, ligando seu motor e liberando-o.

Essa vulnerabilidade, de acordo com a Honda, “não seria explorada por nossos chaveiros ou veículos”, disse a empresa ao The Drive. Em outras palavras, a empresa afirma que o ataque não é viável, mas é. O Drive divulgou uma demonstração na segunda-feira e a corporação não respondeu imediatamente ao nosso pedido de comentário.

Em outras palavras, como o sistema foi projetado para aceitar códigos antigos (para que você possa usar sua entrada sem chave mesmo que o botão seja pressionado uma ou duas vezes enquanto estiver longe do carro e o carro e o controle remoto permanecem sincronizados), o sistema de segurança pode ser derrotado, de acordo com o site Rolling. O site da PWN também afirma que o problema afeta “todos os automóveis Honda atualmente no mercado”, mas reconhece que só foi testado em alguns anos de modelo.

Aumentando a ansiedade, o site sugere que outros fabricantes de automóveis também podem ser afetados, mas não entra em detalhes. Apesar do fato de que isso me faz tremer no meu Ford, provavelmente é uma coisa boa: se os pesquisadores de segurança estão seguindo os processos típicos de divulgação responsável, eles deveriam entrar em contato com os fabricantes de automóveis para discutir o problema antes que ele se torne público. Foi relatado que Jalopnik falou com um representante da Honda que os instruiu a registrar uma reclamação no suporte ao cliente em vez de relatar o problema diretamente à Honda.