根据 FBI的数据,2019 年美国有 721,885 辆汽车被盗,损失高达 64 亿美元——更令人震惊的是,这个数字在 2020 年增长了 11.8%。特别是在关注 2021 年时,本田雅阁和本田 CR-V 是美国被盗最多的 10 款车型之一。有趣的是,在上榜的本田汽车中,较旧的汽车(1997 年至 2000 年)比较新的汽车更容易被盗,这可能是由于后来的车型年解决了潜在的安全漏洞。
然而,2017 年至 2019 年的本田 CRV 车型年是 2019 年加拿大被盗最多的车辆之一,它们不符合技术过时的旧车的要求。加拿大保险局全国调查服务主任告诉《环球邮报》:“窃贼很可能已经开发出一种解码器,可以让他们克隆这些车辆的密钥卡发出的信号。 ” 尽管汽车制造商正在采取措施解决这个问题,但研究人员仍在寻找不同的方法来暴露使用遥控钥匙的现代汽车的安全漏洞——而本田汽车目前处于该问题的中心。
一些本田汽车容易受到重放攻击
一些研究人员已经公布了他们称为 Rolling Pwn Attack的漏洞利用的详细信息,该漏洞 使他们能够远程解锁并启动一些 2012 年至 2022 年款本田汽车。该漏洞利用涉及本田的无钥匙进入系统,该系统依靠滚动代码来防止未经授权访问车辆。滚动密码系统旨在在驾驶员每次按下遥控钥匙时创建一个新密码,以便潜在的窃贼无法使用旧密码进入车辆。这意味着即使黑客使用重放设备截获来自密钥卡的信号,他们也无法使用它。
尽管如此,该报告称,本田的系统的设计方式使得有人可以从近 100 英尺外的远程无钥匙遥控钥匙中截取代码,然后重新使用这些旧的滚动代码来访问车辆。一旦黑客同步了滚动代码,他们就可以重放它们以解锁汽车并启动引擎。除此之外,据报道,回收的滚动代码可以重复使用,不会因时间流逝而失效。
研究人员声称,该漏洞可能会影响 2012 年至 2022 年期间的所有本田车型,尽管他们表示他们已成功对 10 种不同的本田车型使用重放攻击。Drive还通过使用没有密钥卡的 SDR(软件定义无线电)设备解锁并启动 2021 Honda Accord 来验证漏洞。
本田的反应并不令人放心
乔纳森·韦斯/Shutterstock据 The Drive 报道,该研究发表后,本田最初对其可信度持怀疑态度,因为证据不足。然而,公司发言人告诉 TechCrunch ,“可以使用复杂的工具和技术知识来模仿远程无钥匙命令并访问某些车辆或我们的车辆。”
本田还澄清说:“虽然在技术上是可行的,但我们希望向我们的客户保证,这种特殊类型的攻击需要连续近距离捕获多个连续射频传输的信号,不能用来驱走车辆。” 换句话说,本田似乎并不认为这是一个大问题。发现该漏洞的研究人员在 Rolling Pwn 网站上报告了同样多的内容,他们在该网站上分享了一封据称来自本田客户服务部门的电子邮件的屏幕截图,该电子邮件承认了该问题,但表示“对客户的风险较低”,因为结合了要求一些技术技能可以实现并且不适合实际驾驶汽车。
虽然在技术上可以使用无线更新来解决该漏洞,但此类更新不能用于缺乏连接性的旧本田汽车。取而代之的是,这家汽车制造商表示,它将向市场推出的最新款车型将包括一个具有更高安全性的更新系统。