חוקרי אבטחה מדווחים בימים האחרונים על פרצת אבטחה משמעותית במנגנון שלטי הפתיחה של מכוניות, שמאפשר להאקרים לפרוץ בקלות למכוניות למטרת גניבה. נכון לרגע זה, הפריצה נבדקה על ידי מספר גורמים על מכוניות הונדה, ונראה שהיא משפיעה על כל המכוניות של היצרנית היפנית שנמכרות במדינות מסוימות – אך ייתכן שגם מכוניות של יצרניות אחרות פגיעות לאותה פרצה. הפרצה זכתה לכינוי Rolling PWN, על שם המנגנון שבו היא נמצאת.

לצורך הבנת השיטה צריך להבין קודם איך עובדים שלטי המכוניות: בעבר, כל שלט היה משגר קוד קבוע, שהרכב המתאים מזהה ונפתח בתגובה אליו. כאשר ציוד תקשורת הפך להיות זמין וזול לפושעים ברחבי העולם, התעורר הצורך לשדרג את המנגנון הזה – שכן כל האקר יכול, בעזרת מכשיר לקליטה ושידור של גלי רדיו, לקלוט את הקוד כאשר בעל הרכב משתמש בשלט, ולאחר מכן לשדר אותו בעצמו כדי לפתוח את הרכב.
 

אחד הפתרונות לבעיה, אותו יישמה הונדה בשנים האחרונות, נקרא "Rolling Codes": לכל רכב וכל שלט יש סדרה של קודים עוקבים שיכולים לפתוח את הרכב. בכל לחיצה משגר השלט את הקוד הבא בתור, והרכב חוסם כל קוד לאחר השימוש, כדי שהאקר שקלט אותו לא יוכל לפתוח את הרכב על ידי שידור חוזר שלו. רק לאחר שסדרת הקודים מסתיימת, מתאפס "חלון הקודים" של הרכב והשלט, ומתחילים מהתחלה את הסדרה. כל זה נכון, כידוע לנו, לפחות לדגמים שנמכרים בארה"ב.

כעת, מדווחים חוקרי אבטחה כי גם את הפתרון הזה יש דרך לעקוף: כל מה שצריך לעשות הוא לקלוט את הקוד ששימש את בעל הרכב על ידי מכשיר שמחירו באתרי סחר בין 150 ל-1,000 שקל ומתחבר למחשב נייד, ולנסות קודים עוקבים דומים, עד שהרכב מזהה את הקוד הבא בסדרה שלו ונפתח. כמה חוקרים שגילו את הפרצה במקביל בתחילת השנה דיווחו עליה גם להונדה, גם ל-MITRE – ארגון ללא מטרות רווח העוקב אחר פרצות אבטחה ידועות ומקדם תיקון שלהן – וגם לציבור. לדבריהם, כאשר פנו להונדה היא הכחישה שמדובר בבעיה ואף הפנתה אותם לשירות לקוחות, כאילו מדובר בתקלה ברכב בודד – אלא שהם ניסו את פתרון הפריצה על עשרת הדגמים הפופולאריים ביותר של החברה והצליחו לפתוח את כולם: סיוויק 2012; X-RV 2018; C-RV 2020; אקורד 2020; אודיסי 2020; אינספייר 2021; פיט 2022; סיוויק 2022; VE-1 2022; ובריז 2022. לכן, הם אומרים, סביר להניח שהפריצה נמצאת בכל הרכבים של החברה מהעשור האחרון.

דובר החברה מסר בתגובה לאתר The Drive: "בדקנו האשמות דומות בעבר ומצאנו אותן כחסרות בסיס. בעוד שאין לנו מספיק מידע כדי לקבוע אם הדיווח הזה אמין, השלטים ברכבים המוזכרים מצוידים בטכנולוגיית קודים מתחלפים שלא היתה מאפשרת את הפרצה כפי שהיא מיוצגת בדיווח. בנוסף, הסרטונים שהוצעו כהוכחה להיעדרם של קודים מתחלפים אינם כוללים מספיק הוכחות כדי לתמוך בטענות".

עוד ב-

הונדה מעצבנת בעלי רכבים בצעד מרתיח

לכתבה המלאה

חשוב לציין כי הפרצה מאפשרת לפתוח דלתות של רכבים, אך לא התנעה שלהם ללא מפתח או עבודת כפיים למעקף של המנעול. זאת מפני שהתנעה בעזרת השלט מתאפשרת על ידי טכנולוגיה אחרת, ולא הקודים העוקבים שניתן לפרוץ בעזרת הבאג המדובר. כמו כן, לאתר ice נודע כי הפרצה קיימת בדגמים של החברה הנמכרים בארה"ב, בעוד בדגמים הנמכרים בישראל המפרט שונה, ולכן ככל הנראה אינו מושפע מהבעיה.