本田被曝安全系統(tǒng)漏洞，黑客可輕易解鎖啟動(dòng)車輛

7月12日，外媒報(bào)道稱本田多個(gè)車型解鎖系統(tǒng)存在安全漏洞，黑客可以通過信號(hào)截取等技術(shù)手段實(shí)現(xiàn)遠(yuǎn)程解鎖甚至啟動(dòng)車輛。

據(jù)悉，此次安全問題在于本田重復(fù)使用數(shù)據(jù)庫中的解鎖驗(yàn)證代碼，使得黑客能夠通過及時(shí)捕捉并重放汽車鑰匙發(fā)送的代碼來解鎖車輛，該漏洞被業(yè)內(nèi)人員稱為Rolling-PWM。

此外，如果連續(xù)通過鑰匙向本田車輛發(fā)送命令，安全系統(tǒng)中的計(jì)數(shù)器將重新同步，使得前一個(gè)命令數(shù)據(jù)再次有效，該數(shù)據(jù)如果被記錄可以在日后隨意解鎖車輛。

對(duì)此，本田發(fā)言人發(fā)表聲明回應(yīng)稱，已對(duì)類似指控進(jìn)行調(diào)查，并未發(fā)現(xiàn)實(shí)質(zhì)性漏洞。該發(fā)言人還表示，”雖然我們還沒有足夠的信息來確定相關(guān)漏洞報(bào)告是否可信，但上述車輛的鑰匙配備了滾動(dòng)代碼技術(shù)，不可能出現(xiàn)外界所說的漏洞。”

有技術(shù)人員稱，該漏洞更大的危險(xiǎn)是難以追蹤并記錄非法解鎖信息。由于是利用系統(tǒng)漏洞進(jìn)行解鎖，因此非法解鎖信息不會(huì)在日志文件中被記錄，通過黑客手段解鎖車輛甚至無法被發(fā)現(xiàn)。

有專家建議，“常見的解決方案是通過當(dāng)?shù)亟?jīng)銷商處對(duì)涉事車型進(jìn)行召回。如果可行的話，也可以通過空中下載技術(shù)(OTA)更新來升級(jí)有漏洞的固件。”

目前，無鑰匙進(jìn)入系統(tǒng)解鎖主要依靠代碼核驗(yàn)。老式車輛普遍使用靜態(tài)代碼，這意味著老式車輛的代碼安全度較低，解鎖安全性較差，任何人都能夠捕捉并重新發(fā)射該代碼信號(hào)，從而解鎖車輛。

近年來，制造商普遍換用滾動(dòng)代碼來提高車輛安全性。滾動(dòng)代碼通過偽隨機(jī)數(shù)字發(fā)生器(PRNG)來產(chǎn)生隨機(jī)代碼。當(dāng)配對(duì)的鑰匙發(fā)射解鎖或鎖定信號(hào)時(shí)，該鑰匙會(huì)向車輛發(fā)送一串封裝好的代碼，同時(shí)，車輛也會(huì)根據(jù)其內(nèi)部數(shù)據(jù)庫中PRNG生成的隨機(jī)代碼檢查鑰匙扣發(fā)送的代碼，以確定代碼是否有效，在驗(yàn)證通過后完成請(qǐng)求指令。

為了防止黑客進(jìn)行信號(hào)捕捉并重新釋放代碼，在車輛成功解鎖后，數(shù)據(jù)庫會(huì)將本次使用過的代碼進(jìn)行作廢，以此大幅提高車輛安全性能。

此前，本田汽車一直擁有居高不下的被盜率，其糟糕的安全系統(tǒng)也因此飽受詬病。

曾有數(shù)據(jù)顯示，在2016年十大被盜車型中，本田獨(dú)占三個(gè)席位，本田旗下車型CRV、奧德賽與雅閣分別以401輛、160輛以及142輛的年被盜輛分列榜單第二、六、八位。今年年初更是有新聞報(bào)道，成都一輛奧德賽被三人僅用十余秒鐘開鎖偷走。【責(zé)任編輯/常歡】

來源：界面新聞

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。

相關(guān)文章

本田被曝安全系統(tǒng)漏洞，黑客可輕易解鎖啟動(dòng)車輛