Ha sido revelada una vulnerabilidad de «ataque de repetición» que afecta a modelos de automóviles Honda y Acura y que permite a un actor cercano desbloquear su automóvil e incluso arrancar su motor desde una corta distancia. La vulnerabilidad está catalogada como CVE-2022-27254, y es un ataque Man-in-the-Middle (MitM) o más específicamente un ataque de repetición en el que un atacante capta las señales de radiofrecuencia enviadas desde un llavero remoto al automóvil, manipula estas señales y las reenvía en un momento posterior...
Comentarios
Eso con mi Honda no pasa
#1 En la de David tampoco.
#1 si es este de 2009 si está afectado "Acura TSX 2009"
#10 es un Prelude de 1996
#20 Posee UD un gusto excelente.
#24 Muchas gracias Sí, es un coche estupendo y muy bonito. Han pasado muchos coches por mis manos (y pasarán) pero es el único que ni he vendido ni venderé, i'm in love con este coche. 😍
#1 Buen coche, sigo viendo hoy en día algún que otro.
El Opel Corsa del año 1984 lo único que tiene es un radiocasete que lo sintonizas a la frecuencia que quieras dentro del margen operativo. Con radiofrecuencia no arranca ni de coña y a veces tampoco arranca con la llave.
#4 ni a racha tampoco
#4 Filosofía KISS en estado puro... ¡Compro Opel Corsa!
Nada nuevo y cada vez será más corriente si los fabricantes no invierten en ciberseguridad y son opacos en sus tecnologías.
En 2015 unos hackers consiguieron controlar totalmente un Jeep desde internet, no hacía falta estar cerca como con este fallo de seguridad de Honda:
#3 y luego quieren que subamos nuestro dni hasta para registrarnos en twitter o youtube, perfecto para ser robado. El AML o kyc es solo bueno para los criminales y hackers
#3 Que sí, que sí, que lo van a solucionar:
“Honda afirmó que varios fabricantes de automóviles utilizan tecnología heredada para implementar la funcionalidad de desbloqueo del bloqueo remoto y que no piensan actualizar los vehículos antiguos por el momento.”
Por eso no quiero ni regalado un coche conectado.
#6 Pues vas listo.
Pobre Honda.
#5 ¡Dosukoi!
ojala, y digo ojala por que soñar es gratis, dejasen de hacer smart/inteligente/cloud cada puta mierda que se les ocurre y simplemente hicieran cosas que funcionasen y ya
#12 Además es un desperdicio de recursos escasos que se deberían usar para cosas en las que realmente tienen sentido...
Es una feature. Este tipo de cosas cuestan una pasta en los coches blindados de alta gama. Se usa para comprobar que nadie ha puesto una bomba conectqada al arranque (porque si la hay, explota. Y mejor que lo haga sin nadie dentro).
#7 como la conectas al arranque? Has de abrir el capó?
Yo pensaba que si no eran remotas (inhibidores) sería temporizada o por movimiento
#21 En España creo que nunca se ha usado ese método, pero la cosa es ponerla bajo el capó. Habitualmente es un bote de metralla o hasta una mina direccional apuntando al habitáculo. Es relativamente selectivo y menos dañino con los que haya alrededor del coche, pero más dificil de plantar.
Pero vamos a ver: el ataque por repetición es el ataque por defecto, se puede aplicar a todos los mandos a distancia que no tengan un sistema de rolling de código. Yo dejé de comprar mandos a distancia de garajes hace tiempo, me los fabrico (me saca de quicio que te cobren 30€ por algo que no vale ni 5€)
#25 ¿Tienes algún manual?
Quiero hacerme uno para Arduino pero tengo dudas a la hora de implementar el sistema de seguridad...
#29 no tengo, pero tiene que haber en Internet.
Básicamente es ver el código que se envía usando un SDR (o un analizador de espectro si tienes a mano), y reproducirlo usando el Arduino y un módulo de 433mhz. Yo uso unos PIC16F84 antediluvianos que tengo por casa.
https://m.es.aliexpress.com/item/1005001544046620.html?spm=a2g0n.productlist.0.0.2907KvWOKvWOjA&browser_id=6d1d4a5df36a451cac2d914990a4e3a8&aff_trace_key=1ba7f3ec88cf47818a66acc1844e0d3d-1651126055907-02487-UneMJZVf&aff_platform=msite&m_page_id=0011806ec8e983bb67a36935d32b81cbc6a55a87b4&gclid=&pdp_npi=1%40dis%7CEUR%7C%7C0.65%7C%7C%7C1.64%7C%7C%402100bb4c16511261035497920e16e9%7C%7Csea&algo_pvid=25a2a5b8-9ab4-445c-b4fc-748decb68895&algo_exp_id=25a2a5b8-9ab4-445c-b4fc-748decb68895-2
Como en Interstellar con las cosechadoras.
#28 a mí durante el confinamiento se me puso el coche de empresa en modo ahorro (dos meses sin moverlo en el garaje) y al ir a arrancarlo no funcionaba el mando... Al menos tenía un espadín oculto para emergencias y con eso se pudo abrir
Lo que tienen que hacer es no dar acceso remoto a esas funcionalidades.
Por eso, un coche conectado es una mala idea. Cuantos más trastos que necesiten conexión en un coche, más fácil parta poder acceder a él y darnos un susto.
¿Hay alguien que pensara que esto no iba a ser un problema?
Me parece alucinante que le puedan hacer un MiM a el par llaves-coche....
Quiero decir: El coche y las llaves tienen contacto FISICO, como cojones no se hacen ahi los intercambios criptograficos necesarios?¿
Al meter la llave en el contacto:
-"Hola llave, esta es mi clave publica para usar en remoto"
Y le enseña su clave publica
-"Hola coche, esta es la mia"
Y le enseña la suya. Y luego su clave publica tambien se la enseña
DA-BUM-TSSSSSSSSsssssss
#11 Diría que la mayoría de coches vendidos últimamente, son del tipo sin contacto, donde no metes la llave
#16 Mi Scenic de hace 12 años tiene esa chorrada de llave sin contacto, y si bien a veces es cómodo, otras pues te pone de los nervios. "Acerque la llave para arrancar, llave no detectada". "Pero si está aquiiiiii", y se la enseñas como si tuviera el coche vida propia (a veces lo parece). Al final metes la llave en la ranura y parece que así decide que la ve.
#11 no he metido la llave en la cerradura del coche desde hace años, el coche se desbloquea por proximidad y se arranca con un botón, con lo que normalmente no saco la llave del bolsillo
La noticia es del mes pasado
El problema reside es que ese agujero de seguridad lo van a dejar ahí, porque les sale mas caro que el coche pase por el taller a meterles la actualización... madre mía cuando descubran que se ahorran mucho dinero con actualizaciones remotas.. eso sí haciéndolas bien porque el grupo VW con la OTA de la familia ID están flipando sus usuarios.
2022 por dios y ni un triste rolling code le han puesto al mando. Joder con los japoneses y su resistencia al avance
En éste enlace hay un vídeo arrancando un Honda con un portátil: https://www.bleepingcomputer.com/news/security/honda-bug-lets-a-hacker-unlock-and-start-your-car-via-replay-attack/