Honda Civic 2016-2021: actualizaciones firmadas con claves de prueba de Android

Millones de Hondas Civic 2016-2021 usan claves de prueba AOSP para firmar actualizaciones. Cualquiera puede instalar software malicioso con apariencia oficial.

Minimalismo Digital Tecnologia Seguridad

Honda Civic 2016-2021: actualizaciones firmadas con claves de prueba de Android

Las actualizaciones de software para el Honda Civic 10ª generación (2016-2021) están firmadas con las mismas claves de prueba que Google distribuye públicamente para el Android Open Source Project (AOSP). Cualquier persona con conocimientos básicos puede crear una actualización maliciosa que el coche aceptará como legítima.

Por qué importa

Estas claves son las que usan los desarrolladores para prototipos y pruebas internas. No deberían aparecer en un producto de serie, y menos en un vehículo. El investigador Jason Byrne descubrió que Honda las emplea para firmar las actualizaciones del sistema de infoentretenimiento (head unit) del Civic.

El peligro no es teórico: si un atacante accede físicamente al puerto USB del coche —un valet, un mecánico, un compañero de trabajo— puede instalar software que parezca oficial. Una vez dentro, podría acceder a la red CAN del vehículo y controlar funciones críticas como frenos o dirección.

Qué dice el contexto

Las claves de prueba AOSP son públicas y están documentadas. Cualquier desarrollador las conoce.
El sistema de infoentretenimiento del Civic 10ª gen ejecuta Android y acepta actualizaciones firmadas con esas claves sin verificar su origen.
Honda no ha lanzado un parche para corregir este problema. La vulnerabilidad afecta a todos los modelos fabricados entre 2016 y 2021.
Byrne publicó su hallazgo en juniperspring.org con pruebas detalladas, incluyendo capturas de pantalla de la firma.
No se requiere acceso remoto: el ataque necesita conexión USB física, lo que limita el vector pero no lo elimina (valet parking, talleres, etc.).

Lo que puedes hacer

No dejes tu coche en estacionamientos con valet si eres propietario de un Civic 2016-2021. El riesgo de que alguien conecte un dispositivo USB malicioso es bajo pero real.
Exige a Honda una solución oficial. Contacta al servicio al cliente y reporta el problema con referencia al hallazgo de Byrne. Mientras más quejas, más presión para un parche.
Si eres mecánico o técnico, no conectes dispositivos USB no verificados al puerto del coche. Trata el sistema de infoentretenimiento como cualquier otro componente crítico.

En una frase

“

Las actualizaciones del Honda Civic 2016-2021 usan claves de prueba públicas de Android: cualquiera puede falsificarlas y tomar control del coche.

Honda Civic 2016-2021: actualizaciones firmadas con claves de prueba de Android

Por qué importa

Qué dice el contexto

Las claves de prueba AOSP son públicas y están documentadas. Cualquier desarrollador las conoce.

El sistema de infoentretenimiento del Civic 10ª gen ejecuta Android y acepta actualizaciones firmadas con esas claves sin verificar su origen.

Honda no ha lanzado un parche para corregir este problema. La vulnerabilidad afecta a todos los modelos fabricados entre 2016 y 2021.

Byrne publicó su hallazgo en juniperspring.org con pruebas detalladas, incluyendo capturas de pantalla de la firma.

No se requiere acceso remoto: el ataque necesita conexión USB física, lo que limita el vector pero no lo elimina (valet parking, talleres, etc.).

Lo que puedes hacer

No dejes tu coche en estacionamientos con valet si eres propietario de un Civic 2016-2021. El riesgo de que alguien conecte un dispositivo USB malicioso es bajo pero real.

Exige a Honda una solución oficial. Contacta al servicio al cliente y reporta el problema con referencia al hallazgo de Byrne. Mientras más quejas, más presión para un parche.

Si eres mecánico o técnico, no conectes dispositivos USB no verificados al puerto del coche. Trata el sistema de infoentretenimiento como cualquier otro componente crítico.