search
ko한국어
banner
홈페이지 / 소식 / 혼다 전자열쇠 결함으로 해커가 원격으로 차량 잠금 해제 및 시동 가능
소식
pageSearch
최근 뉴스

혼다 전자열쇠 결함으로 해커가 원격으로 차량 잠금 해제 및 시동 가능

Nov 12, 2023Nov 12, 2023

취약한 Honda 전자열쇠를 사용하여 무선 재생 공격을 시연하는 해커. 혼다는 공격이 "신뢰할 수 있는" 것인지 판단할 수 없다고 말했다.이미지 크레딧:스타-V 연구소

보안 연구원들은 해커들이 원격으로 "현재 시장에 존재하는 모든 Honda 차량"을 잠금 해제하고 시동을 걸 수 있도록 허용하는 Honda의 무열차 출입 시스템에 있는 취약점을 밝혔습니다.

Star-V Lab 보안 연구원 Kevin2600과 Wesley Li가 발견한 "Rolling-Pwn" 공격은 Honda의 무열차 출입 시스템이 자동차와 열쇠 고리 사이에 인증 코드를 전송하는 방식의 취약점을 악용합니다. 이는 일부 Tesla 차량에 영향을 미치는 최근 발견된 Bluetooth 재생 공격과 유사한 방식으로 작동합니다. 쉽게 구입할 수 있는 무선 장비를 사용하여 연구원들은 코드를 도청하고 캡처한 다음 액세스 권한을 얻기 위해 차량으로 다시 방송할 수 있었습니다.

이를 통해 연구원들은 2012년부터 2022년까지의 모델을 포함하여 취약점의 영향을 받는 자동차의 엔진을 원격으로 잠금 해제하고 시동할 수 있었습니다. 그러나 Honda Accord의 취약점을 독립적으로 테스트하고 확인한 The Drive에 따르면 2021년에는 전자열쇠 결함으로 인해 공격자가 차량을 가지고 운전하는 것을 허용하지 않습니다.

연구원들이 지적한 바와 같이, 이러한 종류의 공격은 차량의 롤링 코드 메커니즘(원격 키리스 출입의 각 인증에 대해 새로운 코드를 제공하여 재생 공격을 방지하기 위해 도입된 시스템)에 의해 방지되어야 합니다. 차량에는 생성된 코드의 연대순을 확인하는 카운터가 있어 새 코드를 수신하면 개수가 늘어납니다.

Kevin2600과 Wesley Li는 자동차가 연속적으로 잠금 및 잠금 해제 명령을 받으면 Honda 자동차의 카운터가 재동기화되어 자동차가 무효화되어야 했던 이전 세션의 코드를 수락하게 된다는 사실을 발견했습니다.

연구원들은 "혼다 차량에 연속적으로 명령을 보내면 카운터를 재동기화하게 됩니다."라고 썼습니다. "카운터가 다시 동기화되면 이전 카운터 주기의 명령이 다시 작동했습니다. 따라서 나중에 해당 명령을 사용하여 원하는 대로 자동차를 잠금 해제할 수 있습니다."

연구원들은 Honda Civic 2012, Honda Accord 2020 및 Honda Fit 2022를 포함한 여러 Honda 모델에 대한 공격을 테스트했지만 보안 취약점이 "현재 시장에 존재하는 모든 Honda 차량"에 영향을 미칠 수 있으며 다른 제조업체에도 영향을 미칠 수 있다고 경고했습니다. ' 자동차.

보안 연구원들은 이 취약점에 대해 Honda에 연락을 시도했지만 회사에는 "자사 제품의 보안 관련 문제를 처리할 부서가 없다"는 사실을 발견했다고 밝혔습니다. 이에 따라 혼다 고객센터에 문제를 신고했지만 아직 답변을 받지 못했습니다.

The Drive에 보낸 성명에서 회사는 당초 전자 열쇠에 포함된 기술이 "보고서에 나타난 취약점을 허용하지 않을 것"이라고 주장했습니다.

그러나 혼다 대변인 크리스 노튼(Chris Naughton)은 테크크런치(TechCrunch)에 보낸 성명에서 "원격 키리스 명령을 모방하고 특정 차량이나 우리 차량에 접근하기 위해 정교한 도구와 기술 노하우를 사용하는 것이 가능하다는 회사의 주장을 확인할 수 있다"고 말했습니다.

"그러나 기술적으로는 가능하지만, 우리는 다중 순차 RF 전송의 연속적인 근접 신호 캡처가 필요한 이러한 특정 종류의 공격을 사용하여 차량을 쫓아낼 수 없다는 점을 고객에게 확신시키고 싶습니다. 또한 Honda는 정기적으로 개선합니다. Naughton은 새로운 모델이 도입됨에 따라 이와 유사한 접근 방식을 방해할 수 있는 보안 기능이 도입될 것이라고 말하면서 회사는 구형 차량을 업데이트할 "계획"이 없지만 재설계된 2022년 및 2023년형 차량에는 이러한 유형을 방지할 수 있는 개선된 시스템이 있다고 언급했습니다. 일로 인한 공격.

보안 연구원들이 지적한 바와 같이, 구형 차량은 OTA(over-the-air) 업데이트를 지원하지 않기 때문에 결함을 수정하는 것은 어려울 것입니다. 걱정스럽게도 연구원들은 해킹을 방지할 방법이 없으며 해킹이 발생했는지 확인할 방법도 없다고 경고했습니다.

이전의: 온타리오 시, 자동차 도난 방지를 위해 패러데이 가방 무료 배포 다음: 산업용 장비를 보호하는 스마트 RFID 리더기
문의 보내기
보내다