黑客入侵本田汽车店案例分析_黑客入侵本田汽车店案例

文章栏目:

• 1、本田遭受黑客攻击了？！全球多家工厂停工，究竟怎么回事？
• 2、本田系列车辆被曝存在漏洞，可无钥匙启动
• 3、本田汽车广告被指创意盗用他人经历

本田遭受黑客攻击了？！全球多家工厂停工，究竟怎么回事？

[汽车之家 新闻]? 日前，据海外媒体报道，本田汽车表示，为了应对全球“电脑网络中断”，该公司暂停了部分工厂的生产和新车发货。本田美国公司表示，这次网络中断可能是黑客蓄意攻击的一部分。

据悉，此次网络攻击影响了本田旗下11家工厂，其中包括美国的5家。外媒报道表示，本次网络攻击也对本田位于日本和欧洲的网络造成了影响。

目前，本田没有具体透露哪些工厂生产中断，也没有透露哪些业务可能受到了影响。该公司正在对网络中断进行调查，并未排除遭遇网络攻击的可能性。此外，尚不清楚本田是不是勒索软件的受害者，而勒索软件需要向黑客支付一定的赎金后，才能恢复正常。

本田汽车发言人Hidenori Takeyasu表示，当前公司正在调查受影响的范围。当下日本市场没有受到影响，但海外工厂的具体影响还不清楚。最新报道称，本田宣布恢复了美国汽车工厂的生产，但是土耳其的汽车部门以及印度和巴西的摩托车生产部门仍处于调查当中，无法正常工作。（消息来源：Autotimesnews；编译/汽车之家 李娜）

本田系列车辆被曝存在漏洞，可无钥匙启动

本田系列车辆被曝存在漏洞，可无钥匙启动

本田系列车辆被曝存在漏洞，可无钥匙启动，很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门，甚至启动车辆。本田系列车辆被曝存在漏洞，可无钥匙启动。

本田系列车辆被曝存在漏洞，可无钥匙启动1

近日，有海外媒体报道称，部分本田车型存在Rolling-PWN攻击漏洞，该漏洞可能导致汽车被远程控制解锁甚至是被远程启动。Rolling-PWN的基本概念跟之前针对大众汽车和特斯拉及其他设备的攻击类似，即有人使用无线电设备记录来自钥匙的合法无线电信号，然后将其传送到汽车上，进而实现远程启动车辆。

发现该漏洞的研究人员使用相关设备重现了这一场景，据称，存在这一安全漏洞的车辆包括本田思域2012、本田X-RV2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影2022。

针对此事，本田中国相关负责人回应称：“我们已经关注到相关报道，经确认，报道中所指出的漏洞，利用复杂的工具和技术手段，的确可以通过模拟远程无钥匙指令，获取车辆访问权限。”

“但即便技术上可行，这种特殊的攻击方式需要近距离接近车辆，并连续多次捕捉无线钥匙发送给汽车的RF信号，而且哪怕是可以打开车门，智能钥匙不在车内的话也无法开走车辆。”

该负责人还表示，“在投放新产品时，本田也致力于定期提升车辆的安全性能，以防止此种或类似的情况发生。”

本田系列车辆被曝存在漏洞，可无钥匙启动2

现在的车辆基本都配备了远程无钥匙进入系统（RKE）。

但是这些RKE系统在给我们提供方便的同时，也带来了很多潜在的危险，比如，被黑客直接把车开走。

一个专门评估RKE系统的报告发现了一个漏洞，很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门，甚至启动车辆。

受影响的车辆包括：

本田 思域2012

本田 X-RV 2018

本田 C-RV 2020

本田 雅阁2020

本田 奥德赛2020

本田 激励2021

本田 飞度2022

本田 思域2022

本田 VE-12022

本田 微风2022

尽管本田认为其关键芯片中的技术“不允许该漏洞”，但是推特上发布的现场演示视频已经证实了漏洞确实存在。

一个漏洞，影响到无数车主，或许不止本田

之所以这个漏洞被称为Rolling-PWN而不是Honda-PWN，漏洞的发现者表示，因为这种缺陷可能也存在于其他品牌的汽车中。

如果研究属实，这将影响到无数使用无钥匙进入技术的车主。

发现该漏洞后，“黑客”们也试图联系到本田，但是他们在本田官方网站无法找到任何报告漏洞的联系信息，似乎本田汽车没有一个为他们的产品处理安全相关问题的部门。

一位在本田工作的人告诉我们：“报告本田漏洞的最好方法是联系客服。”

因此，他们提交了一份报告给本田客户服务，但还没有得到任何答复。此外，他们还发现了一篇来自Bleping-Computer的文章，看起来本田并不关心这一安全问题：

目前来看，解决这一问题并不容易。通用的解决方案是将车辆带回当地经销商处进行召回，但是这样或许成本过高，而可能的缓解策略是，在可行的情况下，通过空中升级(OTA)升级易受攻击的BCM固件，但是，一些老旧的车辆可能根本不支持OTA。

在接受媒体采访时，本田发言人表示，该公司无法确定这份报告是否可信。

“我们已经调查了过去的类似指控，发现它们缺乏实质内容，”本田发言人在给媒体（The Drive）的一份声明中说。 “虽然我们还没有足够的信息来确定这份报告是否可信，但参考车辆中的关键开关都配备了滚动代码技术，不会出现报告中所述的漏洞。此外，作为没有滚动代码的证据提供的视频也没有包含足够的证据来支持这些说法。”

幸运地是，尽管该漏洞能够启动并解锁汽车，但由于钥匙链的近距离功能，攻击者无法将汽车开走。

Rolling-PWN如何工作？

老式车辆的无钥匙进入使用的是静态代码，这些静态代码本质上是脆弱的，因为一旦有人破解了该密码，那么就获得了锁定和解锁车辆的永久权限。

骑车制造商后来引进滚动代码，以改善车辆安全。

滚动代码通过使用伪随机数生成器(PRNG)来工作。当配对钥匙链上的锁或解锁按钮被按下时，钥匙链会通过无线方式向信息封装中的车辆发送唯一的代码。 然后，车辆根据PRNG生成的有效代码的内部数据库检查发送给它的代码，如果代码有效，汽车就会授予锁、解锁或启动车辆的请求。

该数据库包含几个允许的代码，因为当按下按钮时，钥匙可能不在车辆的范围内，可能传输的代码与车辆预期的下一个按时间顺序传输的代码不同。 这一系列的代码也被称为“窗口”，当车辆接收到新的代码时，它通常会使之前所有的代码失效，以防止重放攻击。

Rolling-PWN正是利用了这一点，Rolling-PWN的工作原理是窃听成对的钥匙链，并捕获由钥匙链发送的几个代码。

之后，攻击者可以重放有效的代码序列并重新同步PRNG。 这允许攻击者重新使用通常无效的旧代码，甚至在代码被破解几个月之后。

本田系列车辆被曝存在漏洞，可无钥匙启动3

据外媒The Drive报道称，部分本田车型存在安全漏洞，使得黑客可以远程解锁汽车。报道指出，此次安全问题在于本田重复使用数据库中的解锁验证代码，使得黑客能够通过及时捕捉并重放汽车钥匙发送的代码来解锁车辆，这项安全漏洞称为Rolling-PWN攻击漏洞。

如果连续通过钥匙向本田车辆发送命令，安全系统中的`计数器将重新同步，使得前一个命令数据再次有效，该数据如果被记录可以在日后随意解锁车辆。

简单理解，即有人使用无线电设备记录来自钥匙的合法无线电信号，然后将其传送到汽车上，因此这项漏洞可能导致汽车被远程控制解锁甚至是被远程启动。

这项漏洞涉及的车型包括2012-2022年发布的多款车型，包括本田思域 2012、本田X-RV 2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影 2022等，而之所以会发生这一安全漏洞，是因为2012年至2022年期间生产的部分本田汽车的无钥匙进入系统存在漏洞。

随后本田发言人在回应The Drive的一份声明中表示：“我们已经调查了过去的类似指控，发现它们缺乏实质内容。虽然我们还没有足够的信息来确定相关漏洞报告是否可信，但上述车辆的钥匙扣配备了滚动代码技术，不可能出现报告中所说的漏洞。”

据媒体介绍，在车主使用无钥匙进入系统解锁车辆时，老式车辆会使用静态代码，这些代码并不安全，因为任何人都能够捕捉并重新发射该代码信号，从而解锁车辆。基于此，制造商采用滚动代码来提高车辆安全性。

不过，一博主ROB STUMPF通过测试证实了这一漏洞，ROB STUMPF称，这一漏洞确实能够解锁和启动车辆，但攻击者无法开走车辆。针对此事，本田中国相关负责人回应称：

“我们已经关注到相关报道，经确认，报道中所指出的漏洞，利用复杂的工具和技术手段，的确可以通过模拟远程无钥匙指令，获取车辆访问权限。但即便技术上可行，这种特殊的攻击方式需要近距离接近车辆，并连续多次捕捉无线钥匙发送给汽车的 RF 信号。但即便可以打开车门，智能钥匙不在车内的话也无法开走车辆。”

另外，该负责人还表示：“在投放新产品时，本田也致力于定期提升车辆的安全性能，以防止此种或类似的情况发生。”

实际上，目前很多车辆也会使用Rolling钥匙系统进行解锁，与上述漏洞有所不同的是，正常的Rolling钥匙系统解锁会采用一次性的信号，也就是说，同一信号无法使用两次，即使黑客成功记录后也无法再次使用。

针对上述安全漏洞，截至目前，尚不清楚本田将如何解决这一问题。

本田汽车广告被指创意盗用他人经历

本田汽车广告被指创意盗用他人经历

本田汽车广告被指创意盗用他人经历，奥迪广告视频被指 抄袭过后，一则本田汽车的宣传广告也被指主角人设虚假、照搬他人经历。本田汽车广告被指创意盗用他人经历。

本田汽车广告被指创意盗用他人经历1

5月22日，远家主理人宁远在其微信公众号发文，质疑本田汽车广告抄袭了自己的故事。

据悉，本田汽车广告标题为“我和明月村的故事：是UR-V的陪伴，让热爱不负期待”。出镜者自称在5年前开本田汽车来到了明月村，被村里的淳朴的民风吸引，于是决定留下来做草木染工坊。

对此，宁远在文中写道：“整个视频时长5分半钟，取景全部在明月村，其中百分之八十以上在远家，百分之二十是“女主”和本田汽车以及明月村在一起。出镜的除了那只叫“白露”的边牧，没有一个远家员工，全是不知哪里找来的群众演员。”

宁远认为，本田汽车的视频视频错在了三个地方：

1、位于明月村的远家是远家YUANJIA品牌线下空间，未经许可不得拍摄商业广告。

2、广告文案存在严重盗窃。

3、品牌方本田汽车把它的汽车品牌和宁远本人的故事嫁接在了一起，事先并没有征得同意，涉嫌侵权。

对此，远家负责人张先生表示，广告画面是在未经允许的情况下在明月村远家空间拍摄的，出镜者所说的内容都是抄袭主理人宁远的故事背景，二者也并不认识。张先生发现许多本田4S店也在用这个视频，20日时他私信发布视频的视频号，希望下架视频但未得到回复。张先生表示已联系律师维权，要求视频号和本田公司删除视频并公开道歉。

截至发稿，本田汽车方面暂无回应。

本田汽车广告被指创意盗用他人经历2

奥迪广告视频被指 抄袭过后，一则本田汽车的宣传广告也被指主角人设虚假、照搬他人经历。视频中的女性主角所述经历与“远家”主理人宁远的经历高度相似。据公开资料，宁远主理的“远家”品牌自2015年入驻成都市浦江县明月村，在此地设有一家名为“明月远家”的集合空间，含餐饮、住宿、展厅等功能，为“美学实践之地”。此外，“远家”在该村还有草木染工房。

5月22日上午，远家主理人宁远发文质问该广告：“全村人都不认识她，她说自己在村里生活了五年。作为品牌方，你们选择这样的广告方式不合适吧？”

潇湘晨报记者经查询发现，该视频发布于4月中旬，发布号名为“汽湃”，标题名为“我和明月村的故事：是UR-V的陪伴，让热爱不负期待”。在该视频中，一位女性主角叙述自己在明月村五年以来的经历，称自己当初开着本田汽车来到明月村，因受村里淳朴民风吸引，留下来做了草木染工作室。

明月村远家负责人张先生告诉潇湘晨报记者，该名女性主角的经历及话语，和远家主理人宁远公开表达过的`内容有高度重合。而且该名女性主角声称自己在明月村生活了五年，并开了一间吸引了许多人的草木染工作室，但当地许多居民和村干部都声称不认识该人。

此外，该视频部分画面取景于远家建筑物，但作为负责人，张先生从未知晓此事，也未给予过对方商业拍摄许可。

记者经查询“汽湃”号过往视频还发现，在其2021年12月31日发布的一则新年祝福视频中，“我和明月村的故事”中的女性主角以员工面貌出现。

下午2时多，宁远再次发文，称该宣传短视频取景全部在明月村，其中百分之八十以上在远家，百分之二十是“女主”和本田汽车以及明月村在一起。

文中，宁远总结了视频的错误之处：1、位于明月村的远家是远家YUANJIA品牌线下空间，未经许可不得拍摄商业广告。2、广告文案存在严重盗窃。3、品牌方本田汽车把我的生活和故事和它的汽车品牌嫁接在了一起，事先并没有征得我的同意。涉嫌侵权。

并提出了自己的诉求：1、立即下架该视频（包括不限于：本田官方公众号、本田经销商公众号、头条号，“汽湃”公众号、视频号。）2、品牌方本田汽车和视频拍摄制作方“汽湃”在公开场合（新浪微博、官方公众号、视频号）道歉。

明月村远家负责人张先生也告诉记者，自己已联系律师维权，要求视频号和本田公司删除视频并公开道歉。

公开资料显示，UR-V是东风本田在2017年推出的一款全新SUV车型。

5月22日，记者致电东风本田汽车有限公司，对方称自己为厂家工作人员，经查询未发现官方渠道有发布该视频，对此事并不知晓。 随后记者致电同样发布了该视频的东风本田徐州瑞逸店，工作人员称视频只是转载，来源“应该是厂家”。

记者注意到，东风本田公众号4月13号转载该视频及文章的消息目前已被删除，徐州瑞逸店也在记者致电后不久删除了所转载的视频。 经查询，“汽湃”为智选宜讯（北京）信息科技有限公司旗下的一家汽车内容原创社群MCN平台。22日下午，该公司工作人员就此事回复记者，称公司拍摄团队较多，需要先进行查询了解。