Una vulnerabilidad de Honda permite arrancar los coches de forma remota

El fallo de seguridad radica en su sistema de acceso sin llave y afecta a varios modelos de Honda Civix y al Acura TSX 2009.

Guardar

Concesionario de Honda
Concesionario de Honda

Una pareja de investigadores en ciberseguridad han descubierto una vulnerabilidad de Honda que puede ser utilizada por actores malintencionados para desbloquear los automóviles desde una ubicación cercana e incluso arrancarlos de forma remota por medio de lo que se denomina un "ataque de repetición".

La vulnerabilidad, rastreada como CVE-2022-27254, radica en su sistema de acceso sin llave, y afecta al Acura TSX 2009 y a los modelos Honda Civic (LX, EX, EX-L, Touring, Si y Type R) fabricados entre 2016 y 2020. 

Detrás del hallazgo de este fallo de seguridad están el informático Blake Berry y el investigador Ayyappan Rajesh, quienes han compartido varios vídeos en los que demuestran cómo se puede explotar para obtener cierto control sobre los vehículos. Este es uno de ellos.

Vulnerabilidad (CVE-2022-27254) en el sistema de acceso sin llave de Honda

El error subyacente es el que el sistema de acceso sin llave de estos automóviles transmite la misma señal de radiofrecuencia de cifrar para cada orden que reciben, por lo que el atacante puede interceptar la señal, guardarla y realizar un ataque de repetición.

"Un pirata informático puede obtener acceso completo e ilimitado para bloquear y desbloquear las puertas, controlar las ventanas, abrir el maletero y arrancar el motor del vehículo objetivo mientras que la única manera de predecir el ataque es no utilizar nunca su control remoto o, después de que haya sido comprometido (lo cual es difícil de saber), reiniciarlo en un concesionario", ha afirmado Berry en una publicación de GitHub, donde utiliza el pseudónimo "HackingIntoYourHeart".

No es la primera vez que se descubre un fallo de este tipo en los vehículos Honda

En el sistema remoto sin llave de los vehículos Honda HR-V 2017 también se ha detectado una vulnerabilidad similar (CVE-2019-20626), que "aparentemente fue ignorada" por la compañía japonesa, apunta Berry. 

"Continuaron implementando 0 medidas de seguridad contra este ataque muy simple de 'reproducir/reproducir y editar'. Curiosamente, este CVE solo cita un vehículo y esto lo he descubierto mucho más tarde en mi búsqueda de investigación".

¿Cómo puede solucionar Honda esta vulnerabilidad?

En su publicación, Berry también responde a esta pregunta haciendo esta declaración en la que no deja en muy buen lugar a la compañía japonesa.

"Honda debe implementar un sistema de 'código variable' en la lista de medidas de seguridad de sus vehículos. Los sistemas de código variable existen desde 1995 y funcionan muy bien contra los piratas informáticos. Aparentemente, Honda nunca ha implementado esta medida de seguridad, dejándolos muy atrás en la carrera hacia un futuro tecnológico seguro. Por lo que puedo decir, esto no es fácilmente 'parcheable'. Honda puede comenzar a implementar medidas de seguridad en vehículos futuros, sin embargo, no parece probable que regresen y solucionen este problema de seguridad en modelos más antiguos".