本田汽车出现漏洞，黑客解锁汽车可远程启动

据外媒网站披露，安全研究人员发现了一个影响部分本田和讴歌车型的漏洞，该漏洞编号为CVE-2022-27254。黑客通过这个漏洞，可以解锁汽车，甚至可以远程启动汽车引擎。

受影响的车型

据研究人员称，2016-2020 款本田思域车型（LX、EX、EX-L、Touring、Si、R 型）受到影响。为此，研究人员分享了视频，展示了该漏洞的远程引擎启动方面，但没有提供利用代码。

在 GitHub 存储库中，研究人员发布了漏洞测试。其中一个包含密钥卡发送的“关闭”命令，该命令由以下位组成：
653-656、667-668、677-680、683-684、823-826、837-838、847-850、853-854。研究人员截获了这个命令并发送了它，这反过来又导致车辆被解锁。

本田汽车出现过类似的漏洞

其实，2020年曾报告过类似的漏洞 (CVE-2019-20626)，该漏洞影响了讴歌 TCX、本田雅阁 V6 Touring、本田 HR-V、本田思域掀背车和本田思域 LX 车型。然而，该公司没有将其淘汰。

研究人员给汽车制造商提出了实施滚动代码的建议。这种安全技术允许为每个身份验证请求发送新密钥，如此一来攻击者就没有办法复制，确保了汽车的安全。

2022年1月，研究院 Kevin2600 披露了一个类似的漏洞，被跟踪为 CVE-2021-46145，但提到他研究的系统使用“滚动代码”，这使得攻击的效果大大降低。

使用过时的技术来实现远程锁定和解锁功能，很容易受到技术含量高的黑客攻击。但本田声明表示，这些设备只能在附近工作或物理连接到目标车辆，当车辆在附近打开和启动时，需要本地接收来自车主钥匙扣的无线电信号。

本田并没有验证研究人员提供的信息，也无法确认汽车是否容易受到此类攻击，更没有升级旧车的计划。而且声称，附近的小偷可能会通过其他方式进入车辆，没有迹象表明该类型的拦截设备被广泛使用。

相关建议

研究人员建议消费者，选择被动无钥匙进入（PKE）而不是远程无钥匙进入，这样攻击者很难复制/读取信号。如果认为自己是这次攻击的受害者，可以要求汽车经销商重置密钥卡。