• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Hackers afirman que pueden desbloquear y arrancar coches Honda a distancia

Hackers afirman que pueden desbloquear y arrancar coches Honda a distancia

16 julio, 2022 Por Nicolás Moret Yáñez Deja un comentario

Los mandos de varios modelos de Honda tienen un fallo que podría permitir a los hackers desbloquear y arrancar los coches.

Los hackers podrían desbloquear y arrancar a distancia prácticamente todos los modelos de coches Honda, según los investigadores de seguridad.

Un investigador de seguridad conocido como Kevin2600 publicó un informe técnico y vídeos sobre una vulnerabilidad que, según él, permite a cualquiera que disponga de un simple dispositivo de hardware puede robar el código para desbloquear los vehículos. Kevin2600 bautizó el ataque como RollingPWN.

«Esta debilidad permite a cualquiera abrir la puerta del coche o incluso arrancar el motor del mismo desde una larga distancia«, escribió Kevin2600 en su informe. «El fallo Rolling-PWN es una vulnerabilidad grave. Lo hemos encontrado en una versión vulnerable del mecanismo de códigos rotativos, que está implementado en gran cantidad de vehículos Honda.»

En una llamada telefónica, Kevin2600 explicó que el ataque se basa en una debilidad que permite a alguien que utiliza una radio definida por software (como HackRF) capturar el código que el propietario del coche utiliza para abrirlo, y luego reproducirlo para que el hacker pueda abrirlo también. En algunos casos, dijo, el ataque puede realizarse a 30 metros de distancia.

En los vídeos, Kevin2600 y sus colegas muestran cómo funciona el ataque desbloqueando diferentes modelos de coches Honda con un dispositivo conectado a un ordenador portátil.

Los modelos de Honda en los que Kevin2600 y sus colegas probaron el ataque utilizan un mecanismo denominado rolling code, lo que significa que, en teoría, cada vez que el propietario del coche utiliza el llavero, éste envía un código diferente para abrirlo. Esto debería hacer imposible capturar el código y utilizarlo de nuevo. Pero los investigadores descubrieron que hay un fallo que permite deshacer los códigos y reutilizar los antiguos para abrir el coche, dijo Kevin2600.

El investigador dijo que él y sus colegas fueron a un concesionario de Honda para probar el ataque en diferentes modelos, y encontraron que 10 de ellos son vulnerables, lo que les hace pensar que todos los modelos de Honda desde 2012 hasta 2022 son vulnerables a este ataque.

Un portavoz de Honda dijo a Motherboard que la vulnerabilidad encontrada por Kevin2600 es «una noticia antigua«.

«Por lo tanto, esperaría que lo trataran como tal y pasaran a algo actual en lugar de crear una nueva ola de gente pensando que esto es algo ‘nuevo'», escribió el portavoz en un correo electrónico.

El portavoz se refería a la investigación realizada a principios de este año, que se centró en los códigos fijos, y no en los códigos rodantes.

«Hemos investigado acusaciones similares anteriores y hemos comprobado que carecen de fundamento. Aunque todavía no tenemos suficiente información para determinar si este informe es creíble, los llaveros de los vehículos mencionados están equipados con tecnología de código rodante que no permitiría la vulnerabilidad representada en el informe. Además, los vídeos ofrecidos como prueba de la ausencia de códigos rotativos no incluyen pruebas suficientes para respaldar las afirmaciones», escribió el portavoz.

Este tipo de ataques para desbloquear coches y otros objetivos son relativamente comunes. A principios de este año, otros investigadores de seguridad descubrieron un problema similar con otros coches de Honda, aunque en ese caso el problema era con los códigos fijos, en lugar de los códigos rotativos. Luego, en junio, los investigadores demostraron que eran capaces de desbloquear coches Tesla con un ataque similar. El conocido investigador de seguridad Samy Kamkar ha hecho de estos ataques una de sus señas de identidad, construyendo dispositivos para desbloquear puertas de garaje y coches.

Kevin2600 escribió que el ataque no deja ningún rastro, por lo que no hay manera de saber si alguien ha explotado el fallo para abrir su coche. Para solucionar el problema, escribió, lo ideal sería una retirada del mercado para que los propietarios pudieran llevar el coche a su concesionario local, pero también es posible que se pueda parchear el firmware vulnerable del llavero.

A pesar de esto, Honda declara que no plantea actualizar los modelos afectados que no soporten actualizaciones OTA.

«En este momento, parece que los dispositivos sólo parecen funcionar en las proximidades o mientras están físicamente conectados al vehículo objetivo, lo que requiere la recepción local de señales de radio del llavero del propietario del vehículo cuando éste se abre y se pone en marcha cerca», dijo un portavoz de Honda.

En su declaración, Honda menciona explícitamente que no ha verificado la información comunicada por los investigadores y que no puede confirmar si los vehículos de Honda son realmente vulnerables a este tipo de ataque.

Pero en caso de que los vehículos sean vulnerables, «Honda no tiene ningún plan para actualizar los vehículos más antiguos en este momento«, dice la compañía.

Fuentes:

  • https://www.vice.com/en/article/z34xnw/hackers-say-they-can-unlock-and-start-honda-cars-remotely
  • https://rollingpwn.github.io/rolling-pwn/
  • https://www.bleepingcomputer.com/news/security/hackers-can-unlock-honda-cars-remotely-in-rolling-pwn-attacks/

Acerca de Nicolás Moret Yáñez

Nicolás Moret Yáñez Ha escrito 11 publicaciones.

  • View all posts by Nicolás Moret Yáñez →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...