Хакеры взломали электромобиль Nissan Leaf

Команда европейских специалистов по кибербезопасности (так называемых «белых» хакеров), используя лишь собственные знания, клавиатуру и небольшое количество доступных компонентов с eBay, сумела получить полный контроль над автомобилем Nissan LEAF 2020 года выпуска. В процессе этого эксперимента они сумели нарушить едва ли не все возможные нормы приватности и протоколы безопасности, доказав, что даже повседневный транспорт может быть уязвимым

Чтобы подтвердить свои слова и предоставить доказательства обнаруженных уязвимостей, команда исследователей задокументировала весь процесс взлома

Именно команда PCAutomotive из Будапешта успешно обнаружила и использовала ряд критических уязвимостей в Nissan LEAF 2020 года выпуска. Это дало им возможность не только получать данные о геолокации и отслеживать передвижения авто в режиме реального времени, несанкционированно получать доступ к текстовым сообщениям с подключенного телефона и записывать разговоры, которые происходят в салоне автомобиля, но и воспроизводить собственные медиафайлы через акустическую систему авто. И, что самое страшное и потенциально смертельно опасно, осуществлять физическое воздействие на управление, изменяя положение руля во время движения автомобиля!

Как это было сделано? Технические детали и ответственное раскрытие

Однако, больше всего поражает (и пугает) в этой истории то, насколько, казалось бы, простыми методами удалось достичь такого уровня контроля. Как отмечают сами хакеры, все началось с создания импровизированного тестового стенда, собранного из доступных деталей, купленных на eBay, и использования известных уязвимостей в DNS C2 канале и протоколе Bluetooth модели Leaf. Это свидетельствует о том, что потенциальные злоумышленники не требуют какого-то сверхсложного или дорогостоящего оборудования для проведения подобных атак

Команда PCAutomotive не ограничилась лишь демонстрацией своих возможностей: они представили чрезвычайно подробный 118-страничный технический отчет о выявленных уязвимостях и методах их эксплуатации на конференции Black Hat Asia в 2025 году. Оригинал этого отчета мы добавляем к этому материалу (ссылка). Если Вас интересуют технические детали такого уровня, заметьте, что самая интересная информация начинается примерно со страницы 27, где описаны сами методы взлома. Если же Вы не являетесь техническим специалистом, достаточно знать, что все обнаруженные уязвимости были переданы компании Nissan и ее поставщикам в период между 02.08.2023 и 12.09.2024 (это указано на странице 116 отчета), что дало производителю время на их изучение и устранение. А демонстрацию самого «взлома» можно посмотреть в видео ниже

Перечень обнаруженных уязвимостей

Вот список обнаруженных уязвимостей, идентифицированных по стандартной классификации CVE и собственной нумерации PCAutomotive:

• CVE-2025-32056 – Bypass системы противодействия угону (Anti-Theft bypass)
• CVE-2025-32057 – app_redbend: MiTM-атака (Man-in-the-Middle)
• CVE-2025-32058 – v850: Переполнение стека при обработке CBR
• CVE-2025-32059 – Переполнение буфера стека, приводящее к удаленному выполнению кода (RCE) [0]
• CVE-2025-32060 – Отсутствие проверки подписи модуля ядра
• CVE-2025-32061 – Переполнение буфера стека, приводящее к RCE [1]
• CVE-2025-32062 – Переполнение буфера стека, приводящее к RCE [2]
• PCA_NISSAN_009 – Неправильная фильтрация трафика между CAN-шинами
• CVE-2025-32063 – Сохранение доступа к Wi-Fi сети (Persistence)
• PCA_NISSAN_012 – Сохранение доступа через CVE-2017-7932 в HAB i.MX 6

Что этот взлом означает для всех нас?

Это исследование, с одной стороны, наглядно демонстрирует, насколько глубокий доступ можно получить к электронным системам современного автомобиля. Теоретически, такие возможности могли бы быть использованы для удаленной диагностики или даже в экстренных ситуациях

С другой стороны, эта история неизбежно подогреет опасения противников электромобилей, которые скажут: “Видите?! Электромобили можно сломать!”. Однако, важно понимать: реальность такова, что практически любой современный автомобиль, оснащенный системами электронного управления (электроусилитель руля – EPS, электронная педаль газа, системы brake-by-wire и т.д.), потенциально может быть уязвимым к подобным атакам, независимо от типа двигателя или производителя. Чем больше электроники в авто, тем шире поле для деятельности киберпреступников

Что касается конкретно этого случая со взломом Nissan LEAF, то, кроме очевидной физической опасности дистанционного управления (что, кстати, является уголовным преступлением и влечет за собой крайне серьезные последствия для злоумышленников, если их поймают), едва ли не наибольшее беспокойство вызывает возможность несанкционированного доступа к личным данным и запись разговоров в салоне. В современном мире, где приватность становится все более ценной, автомобиль не должен превращаться в шпионское устройство на колесах. Нарушение приватности в автомобиле – это риск, который часто недооценивают, и который требует немедленного внимания как от автопроизводителей, так и от регуляторов