Ha sido revelada una vulnerabilidad de «ataque de repetición» que afecta a modelos de automóviles Honda y Acura y que permite a un actor cercano desbloquear su automóvil e incluso arrancar su motor desde una corta distancia.

La vulnerabilidad está catalogada como CVE-2022-27254, y es un ataque Man-in-the-Middle (MitM) o más específicamente un ataque de repetición en el que un atacante capta las señales de radiofrecuencia enviadas desde un llavero remoto al automóvil, manipula estas señales y las reenvía en un momento posterior para tomar el control del sistema de entrada remota sin llave y, así, desbloquear el automóvil.

Los vehículos afectados por este error incluyen los automóviles Honda Civic (LX, EX, EX-L, Touring, Si, Type R) 2016-2020.

En 2020, se informó de una fallo similar (CVE-2019-20626) que afectaba a los siguientes modelos de Honda y Acura:

• Acura TSX 2009
• 2016 Honda Accord V6 Touring Sedán
• Honda HR-V 2017 (CVE-2019-20626)
• Honda Civic Hatchback 2018
• Honda Civic LX 2020

La recomendación para los fabricantes de vehículos es que implementen «códigos rodantes», también conocidos como códigos de salto. Esta tecnología de seguridad proporciona códigos nuevos para cada solicitud de autenticación y, como tal, estos códigos no pueden ser «reproducidos» por un atacante en un momento posterior.

Honda afirmó que varios fabricantes de automóviles utilizan tecnología heredada para implementar la funcionalidad de desbloqueo del bloqueo remoto y que no piensan actualizar los vehículos antiguos por el momento.

Es importante añadir que aunque Honda mejore la seguridad en los nuevos modelos, los ladrones también están trabajando tecnológicamente para superar esas características.

Fuente: hispasec.com