Scott Sheahan

**Nome do Software Vulnerável e Versões Afetadas** Indian Motorcycle Scout Bobber + Tech ano do modelo 2025 **Description** Uma autenticação fraca no Módulo de Controle Sem Fio (WCM) permite que um invasor em rede adjacente com acesso de leitura à rede interna do veículo recupere o PIN de desbloqueio definido pelo usuário ao observar passivamente uma única troca de autenticação de PIN. O visor Infotainment Digital Round calcula sua resposta usando uma operação não criptográfica em vez de um desafio-resposta criptográfico, tornando o PIN matematicamente derivável a partir de uma troca capturada, anulando o controle primário de autenticação de usuário da motocicleta. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Indian Motorcycle Scout Bobber + Tech ano do modelo 2025 **Description** Existe uma autenticação fraca entre o Módulo de Controle Sem Fio (WCM) e o Módulo de Controle do Motor (ECM). Um invasor em rede adjacente com acesso de leitura à rede interna do veículo pode recuperar o segredo do imobilizador do ECM por veículo, observando passivamente uma única troca de seed/key. Isso ocorre porque o WCM utiliza uma operação não criptográfica reversível em vez de um desafio-resposta criptográfico para derivar sua resposta, permitindo que o segredo persistente do imobilizador seja reconstruído a partir de uma troca capturada. Um invasor com esse segredo pode se autenticar no ECM independentemente do WCM para ligar o motor, neutralizando o imobilizador. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Indian Motorcycle Scout Bobber + Tech ano do modelo 2025 **Description** O consumo descontrolado de recursos no Módulo de Controle Sem Fio (WCM) permite que um invasor em rede adjacente com acesso de escrita à rede interna do veículo imobilize permanentemente a motocicleta. O WCM implementa um bloqueio de força bruta no algoritmo de autenticação do imobilizador; no entanto, o contador de bloqueio pode ser acessado por qualquer mensagem não autenticada, não possui vinculação de sessão e não é resetado após um ciclo de energia. Um invasor pode disparar esse bloqueio usando um pequeno número de quadros manipulados, tornando o veículo impossível de dar a partida até que receba assistência técnica do revendedor. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.