多款本田车型存在漏洞，车辆可被远程控制

发布时间：2025-12-07 19:49:19 作者：玩站小弟

远程无钥匙进入系统RKE）能够允许操作者远程解锁或启动车辆。研究人员测试了一个远程无钥匙进入系统RKE），并在测试过程中发现了滚动式PWN攻击问题。据专家称，该问题影响到市场上的所有本田汽车从2012 。

远程无钥匙进入系统（RKE）能够允许操作者远程解锁或启动车辆。多款洞车研究人员测试了一个远程无钥匙进入系统（RKE），本田被远并在测试过程中发现了滚动式PWN攻击问题。车型存漏程控据专家称，多款洞车该问题影响到市场上的本田被远所有本田汽车（从2012年到2022年）。

以下是车型存漏程控2012至2022年间发售，存在相关问题的多款洞车10款本田流行车型，源码下载其中包括：

本田思域2012本田X-RV 2018本田C-RV 2020本田雅阁2020本田奥德赛2020本田启发 2021本田飞度 2022本田思域 2022本田VE-1 2022本田皓影 2022

根据GitHub上发布的本田被远滚动PWN攻击的描述，该问题存在于许多本田车型为了防止重放攻击而实施的车型存漏程控滚动代码机制的一个版本中。

“我们在滚动代码机制的多款洞车一个脆弱版本中发现了这个问题，该机制在大量的高防服务器本田被远本田汽车中实施。无钥匙进入系统中的车型存漏程控滚动代码系统是为了防止重放攻击。每次按下钥匙扣按钮后，多款洞车滚动代码同步计数器就会增加。本田被远然而，车型存漏程控车辆接收器将接受一个滑动的代码窗口，云计算以避免意外的钥匙按下的设计。通过向本田车辆连续发送命令，它将会重新同步计数器。一旦计数器重新同步，前一个周期的计数器的命令就会再次起作用。源码库因此，这些命令以后可以被用来随意解锁汽车。”

研究人员还指出，利用该缺陷解锁车辆是不可能被追踪到的，因为利用该缺陷不会在传统的日志文件中留下任何痕迹。

如何修复这个问题？

专家们的服务器租用建议是："常见的解决方案是通过当地经销商处对涉事车型进行召回。但如果可行的话，通过空中下载技术（OTA）更新来升级有漏洞的BCM固件。然而可能存在有部分旧车型不支持OTA的亿华云问题。"

参考来源：https://securityaffairs.co/wordpress/133090/hacking/honda-rolling-pwn-attack.html

Tag：

Carderbee 攻击：香港实体成为恶意软件的新目标
The Hacker News 网站披露，此前从未被记录的威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，赛门铁克威胁猎人网络安全小组正在以昆虫为主题的“Carderbee”绰号追踪这一活
2025-12-07
Spring Cloud Gateway 数字签名、URL动态加密这样设计真优雅！
在网络传递数据的时候，为了防止数据被篡改，我们会选择对数据进行加密，数据加密分为对称加密和非对称加密。其中RSA和AES，TLS等加密算法是比较常用的。对称加密对称加密是指加密和解密使用相同的密钥的加
2025-12-07
2025 年三月三大网络攻击事件盘点
2025年3月，网络威胁事件激增，个人用户和企业组织均面临严峻风险。从被武器化用于窃取个人数据的银行应用，到遭滥用于将用户重定向至钓鱼陷阱的可信域名，网络犯罪分子手段层出不穷。其攻击策略正变得更具创造
2025-12-07
OT安全挑战：从被动防御到主动防护
企业运营技术OT）安全已经取得了长足的进步，但随着时间的推移，挑战也在不断增加。早期，OT 系统与外部网络完全隔离，使其本质上是安全的。那时安全并非生产制造领域考虑的首要因素，而是着重于确保稳定可靠的
2025-12-07
网络安全巨头Fortinet发生大规模数据泄漏
据CyberDaily、CRN等多家报道，一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器，窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3
2025-12-07
Windows DWM 零日漏洞允许攻击者提权至系统权限
微软已修复Windows桌面窗口管理器DWM）核心库中的一个关键零日漏洞CVE-2025-30400）。该漏洞在野外被积极利用，可使攻击者在受影响系统上获得SYSTEM级权限。作为微软2025年5月补
2025-12-07