На прошлой неделе исследователь, известный как Kevin2600, опубликовал детали уязвимости, названной Rolling-PWN. В короткой публикации утверждается, что все или почти все автомобили Honda, выпущенные за последние 10 лет, подвержены атаке, позволяющей перехватить радиопередачу между автомобилем и брелоком, и позднее разблокировать и даже завести машину в отсутствие владельца.
Этой весной в автомобилях Honda уже находили похожую уязвимость, но тогда речь шла о совсем тривиальной проблеме. На части автомобилей (упоминались Honda Civic 2016–2020 годов выпуска) брелок передает фиксированные радиокоманды на открытие и закрытие дверей, запуск двигателя. Воспроизвести их не составляет труда, и тогда первооткрыватели проблемы настойчиво рекомендовали переходить на скользящие коды, меняющиеся при каждой отправке команды по определенному алгоритму. Kevin2600 с коллегами обнаружили уязвимость именно в технологии скользящих кодов.
Если верить довольно туманному описанию уязвимости (и без технических подробностей), проблема вот в чем. Коды в большинстве автомобилей Honda действительно скользящие. То есть каждое нажатие кнопки на пульте передает в эфир новую последовательность данных. Но эта система должна иметь защиту от случайных нажатий брелока, когда радиосвязи между ним и автомобилем нет — и нет возможности синхронизировать передаваемые коды. Для этого автомобиль принимает не только конкретный код, очередь которого подошла, а несколько кодов в пределах определенного окна.
Все это можно упростить до такого утверждения: множество скользящих кодов — фиксированное. Kevin2600 сломал весь алгоритм генерации переменных кодов для разблокировки автомобиля. Комментируя исследование изданию Vice, представитель Honda назвал исследование «старым», но потом явно говорил о другой уязвимости с фиксированными кодами разблокировки. Тем не менее «новой» работу Kevin2600 тоже назвать нельзя. Еще в декабре 2021 года в блоге команды Starvlab, участником которой является Kevin2600, уже были опубликованы детали проблемы со скользящими кодами. Тогда, правда, это относилось только к относительно старой Honda Civic 2012 года. Теперь же метод был проверен в том числе на автомобилях 2022 года выпуска.
А вот намеки представителя Honda, что анониму с ником Kevin2600 не стоит доверять, мы оставим на совести представителя. Несмотря на анонимность, Kevin2600 последовательно работает над темой защищенности автомобилей уже несколько лет. А то, что на видео и в тексте исследования не было показано технических деталей — так это делается в рамках этических норм при раскрытии информации об уязвимостях, чтобы не спровоцировать эпидемию угонов автомобилей одного производителя.
Или не одного? В августе на конференции Black Hat анонсирована презентация других исследователей на ту же тему: уязвимость переменных кодов в автомобильных брелоках. Там и вовсе заявлено об уязвимости в большинстве автомобильных систем безопасности со скользящими кодами. Единожды перехватив сигнал от брелока, исследователи якобы могут восстановить всю последовательность скользящих кодов для автомобиля. Надеемся, что в этой презентации будет больше деталей. Если громкие заявления исследователей подтвердятся, будет интересно.
Что еще произошло:
Компания Microsoft отменила свое решение о блокировке макросов в офисных документах, загруженных из интернета. Запрет на макросы был анонсирован в феврале 2022 года и тогда был воспринят как нечто, что можно было бы сделать больше двадцати лет назад. Вредоносный код в офисных документах был причиной множества вирусных эпидемий на рубеже тысячелетий, поэтому блокировка выполнения макросов при загру��ке файлов из сети казалась вполне логичным шагом. Тем не менее «на основе отзывов» (непонятно чьих) Microsoft приняла решение отменить запрет, но временно, пока не получится внести какие-то другие изменения. Можно с высокой долей вероятности предположить, что причиной такого странного поведения является критика со стороны крупных клиентов компании, процессы которых так или иначе зависят от макросов в документах, а ограничения (в целом разумные) эти процессы ломают.
Издание ArsTechnica подробно описывает новый режим Lockdown Mode, который скоро появится в смартфонах, планшетах и даже на компьютерах компании. В нем ограничивается практически вся функциональность устройства: например, блокируется открытие почтовых вложений за исключением картинок, отключается часть функциональности Javascript в браузере и так далее. Задача — максимально усложнить жизнь создателям шпионского ПО. Для обычных пользователей такой режим вряд ли подойдет, но в некоторых случаях может быть полезен.
Свежее исследование специалистов «Лаборатории Касперского» посвящено «текстовому мошенничеству»: это когда ваш компьютер не взламывают и пароли не крадут, а вместо этого путем убеждения заставляют вас перевести средства мошенникам. В статье приведена интересная подборка видов подобного спама: это и «ковидные выплаты» и «умер богатый дядюшка», и относительно свежие требования выкупа «я знаю, какую порнографию вы смотрели». И куда более экзотические методы, например распространенный в США «голосовой фишинг», когда вас пугают списанием со счета в банке или с PayPal, дают телефон для связи, а там уже «обрабатывают» до готовности.
