多款本田车型存在漏洞，车辆可被远程控制

远程无钥匙进入系统（RKE）能够允许操作者远程解锁或启动车辆。多款洞车研究人员测试了一个远程无钥匙进入系统（RKE），本田被远并在测试过程中发现了滚动式PWN攻击问题 。车型存漏程控据专家称，多款洞车该问题影响到市场上的本田被远所有本田汽车（从2012年到2022年） 。

以下是车型存漏程控2012至2022年间发售，存在相关问题的多款洞车10款本田流行车型 ，高防服务器其中包括：

本田思域2012本田X-RV 2018本田C-RV 2020本田雅阁2020本田奥德赛2020本田启发 2021本田飞度 2022本田思域 2022本田VE-1 2022本田皓影 2022

根据GitHub上发布的本田被远滚动PWN攻击的描述
，该问题存在于许多本田车型为了防止重放攻击而实施的车型存漏程控滚动代码机制的一个版本中 。

“我们在滚动代码机制的多款洞车一个脆弱版本中发现了这个问题
，该机制在大量的建站模板本田被远本田汽车中实施。无钥匙进入系统中的车型存漏程控滚动代码系统是为了防止重放攻击。每次按下钥匙扣按钮后，多款洞车滚动代码同步计数器就会增加 。本田被远然而，车型存漏程控车辆接收器将接受一个滑动的代码窗口，服务器租用以避免意外的钥匙按下的设计。通过向本田车辆连续发送命令
，它将会重新同步计数器 。一旦计数器重新同步
，前一个周期的计数器的命令就会再次起作用 。源码下载因此
 ，这些命令以后可以被用来随意解锁汽车
。”

研究人员还指出，利用该缺陷解锁车辆是不可能被追踪到的，因为利用该缺陷不会在传统的日志文件中留下任何痕迹。

如何修复这个问题
？

专家们的源码库建议是 ："常见的解决方案是通过当地经销商处对涉事车型进行召回。但如果可行的话  ，通过空中下载技术（OTA）更新来升级有漏洞的BCM固件。然而可能存在有部分旧车型不支持OTA的免费模板问题。"

参考来源：https://securityaffairs.co/wordpress/133090/hacking/honda-rolling-pwn-attack.html