本田被曝安全系統(tǒng)漏洞,黑客可輕易解鎖啟動車輛
7月12日,外媒報道稱本田多個車型解鎖系統(tǒng)存在安全漏洞,黑客可以通過信號截取等技術(shù)手段實(shí)現(xiàn)遠(yuǎn)程解鎖甚至啟動車輛。
據(jù)悉,此次安全問題在于本田重復(fù)使用數(shù)據(jù)庫中的解鎖驗(yàn)證代碼,使得黑客能夠通過及時捕捉并重放汽車鑰匙發(fā)送的代碼來解鎖車輛,該漏洞被業(yè)內(nèi)人員稱為Rolling-PWM。
此外,如果連續(xù)通過鑰匙向本田車輛發(fā)送命令,安全系統(tǒng)中的計數(shù)器將重新同步,使得前一個命令數(shù)據(jù)再次有效,該數(shù)據(jù)如果被記錄可以在日后隨意解鎖車輛。
對此,本田發(fā)言人發(fā)表聲明回應(yīng)稱,已對類似指控進(jìn)行調(diào)查,并未發(fā)現(xiàn)實(shí)質(zhì)性漏洞。該發(fā)言人還表示,”雖然我們還沒有足夠的信息來確定相關(guān)漏洞報告是否可信,但上述車輛的鑰匙配備了滾動代碼技術(shù),不可能出現(xiàn)外界所說的漏洞。”
有技術(shù)人員稱,該漏洞更大的危險是難以追蹤并記錄非法解鎖信息。由于是利用系統(tǒng)漏洞進(jìn)行解鎖,因此非法解鎖信息不會在日志文件中被記錄,通過黑客手段解鎖車輛甚至無法被發(fā)現(xiàn)。
有專家建議,“常見的解決方案是通過當(dāng)?shù)亟?jīng)銷商處對涉事車型進(jìn)行召回。如果可行的話,也可以通過空中下載技術(shù)(OTA)更新來升級有漏洞的固件。”
目前,無鑰匙進(jìn)入系統(tǒng)解鎖主要依靠代碼核驗(yàn)。老式車輛普遍使用靜態(tài)代碼,這意味著老式車輛的代碼安全度較低,解鎖安全性較差,任何人都能夠捕捉并重新發(fā)射該代碼信號,從而解鎖車輛。
近年來,制造商普遍換用滾動代碼來提高車輛安全性。滾動代碼通過偽隨機(jī)數(shù)字發(fā)生器(PRNG)來產(chǎn)生隨機(jī)代碼。當(dāng)配對的鑰匙發(fā)射解鎖或鎖定信號時,該鑰匙會向車輛發(fā)送一串封裝好的代碼,同時,車輛也會根據(jù)其內(nèi)部數(shù)據(jù)庫中PRNG生成的隨機(jī)代碼檢查鑰匙扣發(fā)送的代碼,以確定代碼是否有效,在驗(yàn)證通過后完成請求指令。
為了防止黑客進(jìn)行信號捕捉并重新釋放代碼,在車輛成功解鎖后,數(shù)據(jù)庫會將本次使用過的代碼進(jìn)行作廢,以此大幅提高車輛安全性能。
此前,本田汽車一直擁有居高不下的被盜率,其糟糕的安全系統(tǒng)也因此飽受詬病。
曾有數(shù)據(jù)顯示,在2016年十大被盜車型中,本田獨(dú)占三個席位,本田旗下車型CRV、奧德賽與雅閣分別以401輛、160輛以及142輛的年被盜輛分列榜單第二、六、八位。今年年初更是有新聞報道,成都一輛奧德賽被三人僅用十余秒鐘開鎖偷走。【責(zé)任編輯/常歡】
來源:界面新聞
IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。
熱門文章
精彩評論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機(jī)現(xiàn)在也是全球銷量不錯,國內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實(shí)不錯。- 小何三星手機(jī)在中國還有市場嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現(xiàn)在也沒有之前那么火了,,補(bǔ)貼也少了。。
來自: 【人物】滴滴創(chuàng)始人程維回顧與Uber競爭:中國互聯(lián)網(wǎng)從來沒有輸過--IT時代網(wǎng)
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來自: 少年頭條對壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時代網(wǎng)