Хакери зламали електромобіль Nissan Leaf

Команда європейських фахівців з кібербезпеки (так званих «білих» хакерів), використовуючи лише власні знання, клавіатуру та невелику кількість доступних компонентів з eBay, зуміла отримати повний контроль над автомобілем Nissan LEAF 2020 року випуску. У процесі цього експерименту вони зуміли порушити чи не всі можливі норми приватності та протоколи безпеки, довівши, що навіть повсякденний транспорт може бути вразливим

Щоб підтвердити свої слова і надати докази виявлених вразливостей, команда дослідників задокументувала увесь процес злому

Саме команда PCAutomotive з Будапешта успішно виявила та використала низку критичних вразливостей у Nissan LEAF 2020 року випуску. Це надало їм можливість не лише отримувати дані про геолокацію та відстежувати пересування авто в режимі реального часу, несанкціоновано отримувати доступ до текстових повідомлень з підключеного телефону та записувати розмови, які відбуваються в салоні автомобіля, а й відтворювати власні медіафайли через акустичну систему авто. І, що найстрашніше та потенційно смертельно небезпечно, здійснювати фізичний вплив на керування, змінюючи положення керма під час руху автомобіля!

Як це було зроблено? Технічні деталі та відповідальне розкриття 

Однак, чи не найбільше вражає (і лякає) у цій історії те, наскільки, здавалося б, простими методами вдалося досягти такого рівня контролю. Як зазначають самі хакери, усе почалося зі створення імпровізованого тестового стенда, зібраного з доступних деталей, куплених на eBay, та використання відомих вразливостей в DNS C2 каналі та протоколі Bluetooth моделі Leaf. Це свідчить про те, що потенційні зловмисники не потребують якогось надскладного чи дорогого обладнання для проведення подібних атак

Команда PCAutomotive не обмежилася лише демонстрацією своїх можливостей: вони представили надзвичайно детальний 118-сторінковий технічний звіт про виявлені вразливості та методи їх експлуатації на конференції Black Hat Asia у 2025 році. Оригінал цього звіту ми додаємо до цього матеріалу (посилання). Якщо Вас цікавлять технічні деталі такого рівня, зауважте, що найцікавіша інформація починається приблизно зі сторінки 27, де описано самі методи злому. Якщо ж Ви не є технічним спеціалістом, достатньо знати, що всі виявлені вразливості були передані компанії Nissan та її постачальникам у період між 02.08.2023 та 12.09.2024 (це зазначено на сторінці 116 звіту), що дало виробнику час на їх вивчення та усунення. А демонстрацію самого «злому» можна переглянути у відео нижче 

Перелік виявлених вразливостей

Ось список виявлених вразливостей, ідентифікованих за стандартною класифікацією CVE та власною нумерацією PCAutomotive:

• CVE-2025-32056 – Bypass системи протидії викраденню (Anti-Theft bypass)
• CVE-2025-32057 – app_redbend: MiTM-атака (Man-in-the-Middle)
• CVE-2025-32058 – v850: Переповнення стека при обробці CBR
• CVE-2025-32059 – Переповнення буфера стека, що призводить до віддаленого виконання коду (RCE) [0]
• CVE-2025-32060 – Відсутність перевірки підпису модуля ядра
• CVE-2025-32061 – Переповнення буфера стека, що призводить до RCE [1]
• CVE-2025-32062 – Переповнення буфера стека, що призводить до RCE [2]
• PCA_NISSAN_009 – Неправильна фільтрація трафіку між CAN-шинами
• CVE-2025-32063 – Збереження доступу до Wi-Fi мережі (Persistence)
• PCA_NISSAN_012 – Збереження доступу через CVE-2017-7932 в HAB i.MX 6

Що цей злам означає для всіх нас? 

Це дослідження, з одного боку, наочно демонструє, наскільки глибокий доступ можна отримати до електронних систем сучасного автомобіля. Теоретично, такі можливості могли б бути використані для віддаленої діагностики або навіть в екстрених ситуаціях

З іншого боку, ця історія неминуче підігріє побоювання противників електромобілів, які скажуть: «Бачите?! Електромобілі можна зламати!». Однак, важливо розуміти: реальність така, що практично будь-який сучасний автомобіль, оснащений системами електронного керування (електропідсилювач керма – EPS, електронна педаль газу, системи brake-by-wire тощо), потенційно може бути вразливим до подібних атак, незалежно від типу двигуна чи виробника. Чим більше електроніки в авто, тим ширше поле для діяльності кіберзлочинців

Що стосується конкретно цього випадку зі зламом Nissan LEAF, то, окрім очевидної фізичної небезпеки дистанційного керування (що, до речі, є кримінальним злочином і тягне за собою вкрай серйозні наслідки для зловмисників, якщо їх спіймають), чи не найбільше занепокоєння викликає можливість несанкціонованого доступу до особистих даних та запис розмов у салоні. У сучасному світі, де приватність стає дедалі ціннішою, автомобіль не має перетворюватися на шпигунський пристрій на колесах. Порушення приватності в автомобілі – це ризик, який часто недооцінюють, і який вимагає негайної уваги як від автовиробників, так і від регуляторів