黑客利用RollingPWN漏洞，可远程解锁启动多款本田车型

安全研究人员发现了名为RollingPWN的漏洞，黑客利用该漏洞可远程解锁和启动多款本田车型。调查发现，从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。目前，本田旗下 10 款最受欢迎的车型均受到了影响。

受影响的车辆型号

• Honda Civic 2012
• Honda XR-V 2018
• Honda CR-V 2020
• Honda Accord 2020
• Honda Odyssey 2020
• Honda Inspire 2021
• Honda Fit 2022
• Honda Civic 2022
• Honda VE-1 2022
• Honda Breeze 2022

RollingPWN漏洞主要利用本田的无钥匙进入系统的一个组件。本田的进入系统依赖于滚动代码模型，每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建后，此前创建的代码理论上应该弃用，以防止重放攻击。然而，安全研究人员发现旧代码可以回滚并用于获取对车辆的不必要访问权限。此外，研究人员还对 2012-2022 年发售的多款本田车型进行了测试，均发现了这个漏洞，并确认影响了10款车型。

根据漏洞影响车型列表和成功测试情况，研究人员认为该漏洞可能会影响所有本田汽车，而不仅仅是上面列出的前十个。

漏洞修复

本田通过无线(OTA) 固件更新修复该漏洞，但许多受影响的汽车不提供 OTA 支持。因此，为漏洞提供修复和漏洞利用一样复杂。况且，不可能把所有潜在受影响的车辆都召回。

本田车型存在RollingPWN 漏洞，那么这个漏洞是不是在其他车企的车辆型号中也存在呢？目前还没有证据表明其他车企的车辆型号也存在该漏洞，后续有相关的消息，我们将持续报道。