7月12日,外媒報道稱本田多個車型解鎖系統(tǒng)存在安全漏洞,黑客可以通過信號截取等技術手段實現(xiàn)遠程解鎖甚至啟動車輛。
據(jù)悉,此次安全問題在于本田重復使用數(shù)據(jù)庫中的解鎖驗證代碼,使得黑客能夠通過及時捕捉并重放汽車鑰匙發(fā)送的代碼來解鎖車輛,該漏洞被業(yè)內(nèi)人員稱為Rolling-PWM。
此外,如果連續(xù)通過鑰匙向本田車輛發(fā)送命令,安全系統(tǒng)中的計數(shù)器將重新同步,使得前一個命令數(shù)據(jù)再次有效,該數(shù)據(jù)如果被記錄可以在日后隨意解鎖車輛。
對此,本田發(fā)言人發(fā)表聲明回應稱,已對類似指控進行調(diào)查,并未發(fā)現(xiàn)實質(zhì)性漏洞。該發(fā)言人還表示,”雖然我們還沒有足夠的信息來確定相關漏洞報告是否可信,但上述車輛的鑰匙配備了滾動代碼技術,不可能出現(xiàn)外界所說的漏洞。”
有技術人員稱,該漏洞更大的危險是難以追蹤并記錄非法解鎖信息。由于是利用系統(tǒng)漏洞進行解鎖,因此非法解鎖信息不會在日志文件中被記錄,通過黑客手段解鎖車輛甚至無法被發(fā)現(xiàn)。
有專家建議,"常見的解決方案是通過當?shù)亟?jīng)銷商處對涉事車型進行召回。如果可行的話,也可以通過空中下載技術(OTA)更新來升級有漏洞的固件。"
目前,無鑰匙進入系統(tǒng)解鎖主要依靠代碼核驗。老式車輛普遍使用靜態(tài)代碼,這意味著老式車輛的代碼安全度較低,解鎖安全性較差,任何人都能夠捕捉并重新發(fā)射該代碼信號,從而解鎖車輛。
近年來,制造商普遍換用滾動代碼來提高車輛安全性。滾動代碼通過偽隨機數(shù)字發(fā)生器(PRNG)來產(chǎn)生隨機代碼。當配對的鑰匙發(fā)射解鎖或鎖定信號時,該鑰匙會向車輛發(fā)送一串封裝好的代碼,同時,車輛也會根據(jù)其內(nèi)部數(shù)據(jù)庫中PRNG生成的隨機代碼檢查鑰匙扣發(fā)送的代碼,以確定代碼是否有效,在驗證通過后完成請求指令。
為了防止黑客進行信號捕捉并重新釋放代碼,在車輛成功解鎖后,數(shù)據(jù)庫會將本次使用過的代碼進行作廢,以此大幅提高車輛安全性能。
此前,本田汽車一直擁有居高不下的被盜率,其糟糕的安全系統(tǒng)也因此飽受詬病。
曾有數(shù)據(jù)顯示,在2016年十大被盜車型中,本田獨占三個席位,本田旗下車型CRV、奧德賽與雅閣分別以401輛、160輛以及142輛的年被盜輛分列榜單第二、六、八位。