Falha em carros da Honda permite que qualquer um ligue o motor de longe

Uma falha grave em alguns modelos de carros da Honda e da Acura pode permitir que terceiros repliquem o sinal emitido pela chave, possibilitando abrir a porta e ligar o motor sem estar com o dispositivo em mãos. O método envolve a cópia dos sinais de rádio emitidos pelo dispositivo, que podem ser interceptados por terceiros e enviados de volta aos veículos sem que os sistemas de segurança detectem isso.

• Ataques a carros inteligentes são “questão de tempo”, diz especialista
• 5 tecnologias semiautônomas do seu carro que você precisa conhecer

A prova de conceito da exploração foi divulgada por pesquisadores e professores da Universidade de Massachusetts, nos EUA, juntamente com a empresa de segurança Cybereason. Eles não divulgaram detalhes da brecha, para que ela não seja explorada nos veículos da marca, mas disseram que a vulnerabilidade afeta diferentes versões do Honda Civic lançadas entre 2016 e 2020, assim como o Acura TSX de 2009.

O golpe descrito na CVE-2022-27254 é conhecido como “ataque de replay”, uma variação de explorações man-in-the-middle em que há interceptação de sinais. Eles, então, podem ser manipulados para realizar ações no veículo, neste caso, ligar o motor e abrir as portas, em atitudes que possibilitariam o roubo dos carros — não é a primeira vez, também, que brechas desse tipo são detectadas em modelos que usam a tecnologia de aproximação.

Prova disso é que, em comunicado, a própria Honda minimizou a questão, afirmando não ter verificado a brecha encontrada pelos pesquisadores. A marca apontou a sofisticação envolvida em ataques desse tipo e o fato de que um bandido precisaria estar muito próximo do usuário e, depois, do veículo, para que o golpe funcione adequadamente — em tais situações, diferentes métodos para arrombar ou roubar o carro também poderiam ser usados.

A empresa também apontou para o fato de a vulnerabilidade atingir apenas modelos antigos, que usam tecnologias de segurança legadas e que podem estar defasadas diante de métodos de exploração mais recentes. Ainda assim, segundo a Honda, os modelos não devem receber atualizações para evitar a exploração da brecha apontada pelos especialistas.

Entre as sugestões apontadas está o uso de carteiras ou protetores que bloqueiem os sinais da chave quando ela não estiver sendo utilizada e a ativação de sistemas passivos de reconhecimento da chave remota. Em último caso, os donos de carros que acreditarem estar sendo vítimas de explorações desse tipo também podem se dirigir a uma concessionária para resetar o segredo, tornando inúteis os sinais interceptados anteriormente.

Fonte: GitHub, Bleeping Computer