El infotainment Honda Civic 2021 puede ser comprometido desde su puerto USB frontal: un fallo en la verificación de firmas permite instalar aplicaciones no autorizadas firmadas con las claves públicas de prueba AOSP. Es una vulnerabilidad de privacidad relevante que abre la puerta a lo que el investigador ha denominado «EvilValet», un ataque basado en el acceso físico temporal.
Lo que Honda no aclara todavía es hasta qué punto esta ruta de actualización está limitada por la instalación en modo usuario o si se pueden acceder a sensores y conexiones (micrófono, GPS, Bluetooth, Wi‑Fi, datos móviles) desde aplicaciones maliciosas.
Qué permite el exploit en el infotainment Honda Civic 2021
En la práctica, el sistema de la unidad principal comprueba las actualizaciones conectadas por USB buscando una firma compatible con AOSP (Android Open Source Project) pero sólo valida contra una clave de prueba pública. Si un pendrive está preparado y firmado con esa clave pública, el sistema acepta la instalación.
Eso significa que alguien con acceso físico breve al coche —por ejemplo, un valet, un operario de taller o cualquiera que pueda dejar un USB en la guantera— puede instalar una app con permisos suficientes para recolectar información. El investigador que lo documentó puso como ejemplo el escenario «EvilValet»: un valet instala software que luego registra conversaciones, trackea ubicaciones y, si el hardware lo permite, captura vídeo.
Una vez instalada, la app podría usar las conexiones inalámbricas del sistema para exfiltrar datos. No es una amenaza para la conducción ni para la electrónica crítica del vehículo: según el análisis, el fallo está confinado al sistema de infoentretenimiento y no permite controlar motor, frenos ni funciones ADAS.
Contexto, riesgos y pasos prácticos
Vulnerabilidades de este tipo no son nuevas en la industria automotriz. Ya en informes previos se documentaron fallos que los fabricantes trataron con distintas prioridades —desde parches hasta negación de riesgo— y filtraciones como las de 2017 mostraron el interés de agencias en investigar vectores remotos sobre vehículos. No es un detalle menor: la combinación de hardware compartido entre marcas y diseños de actualización inseguros multiplica la superficie de ataque.
El caso del infotainment Honda Civic 2021 recuerda otra limitación habitual: muchos fabricantes permiten actualizaciones por USB para facilitar talleres y concesionarios, pero si la firma de ese software se basa en claves públicas conocidas, la barrera de entrada para un atacante es muy baja.
El investigador publicó herramientas y archivos en GitHub para facilitar la explotación o la auditoría del sistema; eso sí, manipular la unidad puede dejarla inservible y anular garantías, así que no es algo para probar sin conocimiento y cuidado.
Medidas prácticas que pueden reducir el riesgo: evitar dejar el vehículo con acceso no supervisado cuando lleve datos sensibles, retirar dispositivos personales y, cuando sea posible, desactivar funciones inalámbricas del head unit si no se usan. También es razonable exigir a concesionarios y servicios de valet que no conecten dispositivos USB al vehículo sin autorización explícita del propietario.
Lo que Honda sí debería hacer es reemplazar la verificación actual por un esquema de firma robusto y único por fabricante, y ofrecer un parche o una actualización oficial que elimine la aceptación de claves de prueba públicas. Mientras tanto, propietarios y fleets deben tratar este hallazgo como un problema de privacidad más que de seguridad de conducción.
En resumen, el infotainment Honda Civic 2021 presenta una vía de ataque real y práctica por USB que permite instalar software no autorizado. No compromete los sistemas de control del vehículo, pero sí expone datos sensibles y la intimidad de los ocupantes si se explota en el mundo real.
Si tienes un Civic afectado y dependes de ese sistema para tareas profesionales o llevas invitados habituales, conviene tomar precauciones sencillas y preguntar en tu taller oficial por actualizaciones de software o recomendaciones específicas.
