本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

漏洞批量

本田思域(Honda Civic)是日本本田（Honda）公司的一款汽车。

本田思域2018车型的remote keyless system存在安全漏洞，该漏洞源于remote keyless system为每个车门打开请求发送相同的RF信号，从而允许重放攻击，这与CVE-2019-20626有关。

受影响的车型

2016-2020年本田思域(LX, EX, EX-L, Touring, Si, Type R)

图片[1]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域LX

图片[2]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域EX

图片[3]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域EX-L

图片[4]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域Touring

图片[5]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域Si

图片[6]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog — 本田思域Type R

效果演示

使用无线电广播远程锁上汽车车门
使用无线电广播远程解锁汽车车门
使用无线电广播远程启动汽车发动机引擎

1使用远程广播锁上汽车车门 2使用远程广播解锁汽车车门 3使用远程广播启动汽车发动机引擎

原理解释

这里主要还是通过重放攻击，我们在上一篇《黑客是如何通过电脑打开汽车车门的》

其实已经讲解过了，这里再分享一次。

重放攻击

展开阅读更多重放攻击的内容

之前很多汽车的开锁技术中都使用了静态代码，通过无线电向您的汽车发送二进制代码，确认后车门就会被打开

图片[7]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

如果汽车没有发送指定的代码，则汽车将不会被解锁，譬如图中的绿色代码是我们发送的

图片[8]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

那我们上述场景，很容易出现重放攻击（Replay attack）

我们作为黑客，用户在使用车钥匙打开车门的时候

图片[9]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

记录下他们发送的无线电代码，等他们不在的时候进行重放之前的代码，你就可以完成汽车的入侵了

图片[10]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

滚动代码

那么如何修复上面说的这种重放攻击的漏洞呢？

厂商们制作出来一种叫做滚动代码（Rolling Codes）的东西，每次按下车钥匙时，它都会发送不同的代码给汽车，所以钥匙里有很长的一串代码，同样地车里也是一长串代码

你按下钥匙的时候，它会发送第一串代码

图片[11]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

汽车会查看列表中的第一串代码，检验是否匹配

图片[12]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

在下一次解锁时，则会使用下一行代码，匹配汽车中的下一行代码

因此你如果重放之前的代码，汽车就不会解锁了

图片[13]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

不过这看起来并不是非常的完善。

利用思路

我们可以准备两台设备，一台设备用来发送干扰信号，这样汽车就接收不到车钥匙发的信号了；第二台设备用来接收钥匙发出的信号。

图片[14]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

用户在使用车钥匙打开车门的时候，我们先进行干扰，记录第一次发送的代码，这时车门并没有打开；

图片[15]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

用户会再次按下钥匙，这时我们继续干扰记录，但是发送第一次的代码，车门打开了；

图片[16]-本田思域汽车无钥匙远程控制安全漏洞(CVE-2022-27254)-FancyPig's blog

这时其实我们已经提前获取了它下一次打开车门时可以使用的代码，这样在他不在的时候，我们可以通过发送第二次代码直接将车门打开。

复现关键参数

•钥匙FCC ID: KR5V2X

•钥匙频率: 433.215MHz

•钥匙调制器: FSK

使用工具

•FCCID.io
•HackRF One
•Gqrx
•GNURadio

视频讲解

在这个讲座中，我将介绍无线电黑客技术，并将其提升到黑客技术的几个层次，如无线控制的大门、车库和汽车等现实世界的设备。现在，许多车辆通过GSM和网络由移动设备控制，而更多的车辆可以通过射频的无线钥匙扣解锁和启动。所有这些都可以用低成本的工具（如RTL-SDR、GNU Radio、HackRF、Arduino，甚至是Mattel玩具）进行攻击。

我们将研究这些功能是如何工作的，当然还有它们是如何被利用的。我将从头到尾介绍这一领域的新工具和漏洞，如对固定代码的密钥空间减少攻击，使用射频攻击加密和滚动代码的高级 “代码抓取器”，利用移动设备和糟糕的SSL实现，以及如何保护自己免受此类问题的影响。

在本讲座结束时，你不仅会了解车辆和保护它们的无线控制的物理访问是如何被利用和保护的，而且还会了解到用于硬件、汽车和射频研究的各种工具，以及如何使用和建立自己的廉价设备进行这种调查

主讲人：Samy Kamkar

Samy Kamkar是一位独立的安全研究员，以创建MySpace蠕虫病毒而闻名，这是有史以来传播最快的病毒之一。他的开源软件和研究突出了日常技术中的不安全因素和隐私问题，从产生几乎不可改变的重生饼干的Evercookie，到无线劫持其他无人机的SkyJack，以及伪装成USB壁式充电器的无线键盘嗅探器KeySweeper。他继续发布新的工具和硬件，例如最近发布的ProxyGambit、OpenSesame和ComboBreaker工具。

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END