本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)

相关阅读

本次纰漏的漏洞与之前我们上篇文章提到的重放攻击几乎是一模一样

漏洞批量

参考《国家信息安全漏洞库》提供的《Honda Civic 安全漏洞》

本田思域(Honda Civic)是日本本田(Honda)公司的一款汽车。

本田思域2018车型的remote keyless system存在安全漏洞,该漏洞源于remote keyless system为每个车门打开请求发送相同的RF信号,从而允许重放攻击,这与CVE-2019-20626有关。

受影响的车型

2016-2020年本田思域(LX, EX, EX-L, Touring, Si, Type R)

图片[1]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域LX
图片[2]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域EX
图片[3]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域EX-L
图片[4]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域Touring
图片[5]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域Si
图片[6]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog
本田思域Type R

效果演示

  • 使用无线电广播远程 锁上汽车车门
  • 使用无线电广播远程 解锁汽车车门
  • 使用无线电广播远程 启动汽车发动机引擎

原理解释

这里主要还是通过重放攻击,我们在上一篇《黑客是如何通过电脑打开汽车车门的

其实已经讲解过了,这里再分享一次。

重放攻击

之前很多汽车的开锁技术中都使用了静态代码,通过无线电向您的汽车发送二进制代码,确认后车门就会被打开

图片[7]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

如果汽车没有发送指定的代码,则汽车将不会被解锁,譬如图中的绿色代码是我们发送的

图片[8]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

那我们上述场景,很容易出现重放攻击(Replay attack)

我们作为黑客,用户在使用车钥匙打开车门的时候

图片[9]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

记录下他们发送的无线电代码,等他们不在的时候进行重放之前的代码,你就可以完成汽车的入侵了

图片[10]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

滚动代码

那么如何修复上面说的这种重放攻击的漏洞呢?

厂商们制作出来一种叫做滚动代码(Rolling Codes)的东西,每次按下车钥匙时,它都会发送不同的代码给汽车,所以钥匙里有很长的一串代码,同样地车里也是一长串代码

你按下钥匙的时候,它会发送第一串代码

图片[11]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

汽车会查看列表中的第一串代码,检验是否匹配

图片[12]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

在下一次解锁时,则会使用下一行代码,匹配汽车中的下一行代码

因此你如果重放之前的代码,汽车就不会解锁了

图片[13]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

不过这看起来并不是非常的完善。

利用思路

我们可以准备两台设备,一台设备用来发送干扰信号,这样汽车就接收不到车钥匙发的信号了;第二台设备用来接收钥匙发出的信号。

图片[14]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

用户在使用车钥匙打开车门的时候,我们先进行干扰,记录第一次发送的代码,这时车门并没有打开;

图片[15]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

用户会再次按下钥匙,这时我们继续干扰记录,但是发送第一次的代码,车门打开了;

图片[16]-本田思域汽车 无钥匙远程控制 安全漏洞(CVE-2022-27254)-FancyPig's blog

这时其实我们已经提前获取了它下一次打开车门时可以使用的代码,这样在他不在的时候,我们可以通过发送第二次代码直接将车门打开。

复现关键参数

•钥匙FCC ID: KR5V2X

•钥匙频率: 433.215MHz

•钥匙调制器: FSK

使用工具

•FCCID.io
•HackRF One
•Gqrx
•GNURadio

视频讲解

在这个讲座中,我将介绍无线电黑客技术,并将其提升到黑客技术的几个层次,如无线控制的大门、车库和汽车等现实世界的设备。现在,许多车辆通过GSM和网络由移动设备控制,而更多的车辆可以通过射频的无线钥匙扣解锁和启动。所有这些都可以用低成本的工具(如RTL-SDRGNU RadioHackRFArduino,甚至是Mattel玩具)进行攻击。

我们将研究这些功能是如何工作的,当然还有它们是如何被利用的。我将从头到尾介绍这一领域的新工具和漏洞,如对固定代码的密钥空间减少攻击,使用射频攻击加密滚动代码的高级 “代码抓取器”,利用移动设备和糟糕的SSL实现,以及如何保护自己免受此类问题的影响。

在本讲座结束时,你不仅会了解车辆和保护它们的无线控制的物理访问是如何被利用和保护的,而且还会了解到用于硬件汽车射频研究各种工具,以及如何使用建立自己的廉价设备进行这种调查

主讲人:Samy Kamkar

Samy Kamkar是一位独立的安全研究员,以创建MySpace蠕虫病毒而闻名,这是有史以来传播最快的病毒之一。他的开源软件和研究突出了日常技术中的不安全因素和隐私问题,从产生几乎不可改变的重生饼干的Evercookie,到无线劫持其他无人机的SkyJack,以及伪装成USB壁式充电器的无线键盘嗅探器KeySweeper。他继续发布新的工具和硬件,例如最近发布的ProxyGambit、OpenSesame和ComboBreaker工具。

© 版权声明
THE END
喜欢就支持一下吧
点赞27赞赏 分享
评论 共5条

请登录后发表评论