Aquí os comparto una noticia que me acaba de llegar sobre una vulnerabilidad que han descubierto en vehículos Honda de modelos entre 2012 a 2022 la cual permite desbloquear, arrancar y robar los coches sin llave.
Respecto a la mitigación, indican que la solución común requiere que devolvamos el automóvil al concesionario. Pero la estrategia de mitigación recomendada es actualizar el firmware BCM vulnerable a través de actualizaciones inalámbricas (OTA) si es factible. Es posible que algunos vehículos antiguos no admiten OTA.
Los investigadores no han recibido ninguna respuesta de la empresa Honda, por lo que no existe una solución para corregir esta vulnerabilidad a partir de ahora.
Interesante información. De ser así, es un asunto chungo, pero siempre he dicho que cuando te lo quieren robar, da igual lo que hagas que si lo tienen entre ceja y ceja, te desaparecerá por mucho cuidado que tengas. Otra cosa es que luego lo recuperes por tener un localizador o similar, pero volar va a volar sí o sí.
Morrillu: un amigo el suyo lo dejaba abierto, decía que así el destrozo para robarlo era menor…
Llamé al rato de enterarme a Atención al Clt. de Honda.
Como ya sabía por haberlo verificado previamente en la web de Honda, mi coche por nº de bastidor no tiene campañas pendientes de aplicar.
El que me atendió me comentó que no tenía noticias oficiales de Honda respecto a la vulnerabilidad que comentaba y no se preocupó más allá de decirme que en caso de aplicarse alguna campaña sobre lo que estaba reportando, que recibiría algún comunicado vía carta u otro medio por parte de tráfico u Honda.
Le sugerí incluso tomar nota del CVE por si podía reportarlo para que estuviesen al tanto y verificarlo dado que parecían no estar al corriente, pero se hizo el loco completamente a pesar de decirle que la info no venía de un foro como el suponía, sino de varias fuentes fiables.
Supongo que no puede salirse mucho del guion que le dictan a la hora de atender, más grabándose la llamada y no suele recibir llamadas de gente avisando de “vulnerabilidades” tecnológicas.
Revisando el twitter de “Kevin2600” se ve efectivamente como en más de un coche Honda se lleva a cabo el hack con éxito:
Mientras no salga un parche para corregir la vulnerabilidad por parte de Honda, tocará al menos ponerle una barra antirrobo cuando descanse en la calle para disuadir aunque sea y ponerlo un poco más entretenido a los cacos…
En menos de 10 segundos te la desmontan. Hablando con Luma, especialistas en antirrobos de moto, me lo explicaba muy claro: no hay ningún método antirrobo que sea inviolable. Lo único que se puede hacer es que les cueste tanto tiempo que directamente descarten robarlo.
Esto es un clic-bait en toda regla.
Para los profanos: es un exploit medio con un rango 5,3 de 10 en gravedad. Así que vulnerabilidad crítica, my coxones.
Para los que no quieran empezar a navegar por las páginas de CVE y demás que reconozco pueden ser un laberinto:
1.- Sólo se ha demostrado en los Honda Civic 2012, aunque es posible que otros modelos de años posteriores estén afectados.
2.- El ataque es mediante el “sniffing” entre la llave y el coche. Lo que implica un ataque MOTM donde tiene que haber alguien realmente cerca de tu coche. Y como una imagen vale más que 1000 palabras:Vídeo demostrativo
3.- Como dice @Morrillu, si se lo quieren llevar, date por jodido porque se lo llevarán. Si no es con éste método, con grua y si no a punta de pistola. Así que…
