Исследователи из компании PCAutomotive продемонстрировали ряд уязвимостей в электромобиле Nissan Leaf. Специалисты показали, что баги могли использоваться для удаленного взлома автомобилей, слежки и полного перехвата различных функций.
Компания PCAutomotive специализируется на пентестах и анализе угроз для автомобильной и финансовой отраслей. О взломе Nissan Leaf эксперты подробно рассказали на прошлой неделе, в рамках конференции Black Hat Asia 2025.
Объектом изучения стал электромобиль Nissan Leaf второго поколения, выпущенный в 2020 году. Обнаруженные в нем уязвимости позволяли использовать функции Bluetooth в информационно-развлекательной системе авто для проникновения во внутреннюю сеть.
Эксперты рассказывают, что эти проблемы позволяли повысить привилегии и установить канал связи с управляющим сервером с помощью сотовой связи, что обеспечивало скрытый и постоянный доступ к электромобилю непосредственно через интернет.
Злоумышленник мог использовать обнаруженные уязвимости для слежки за владельцем Nissan Leaf, отслеживая местоположение авто, делая скриншоты информационно-развлекательной системы и даже записывая разговоры людей в салоне.
Кроме того, проблемы позволяли удаленно контролировать различные функции авто, включая открытие дверей, работу стеклоочистителей, клаксона, зеркал, окон, фар и даже рулевого колеса, в том числе во время движения.
Уязвимостям были присвоены восемь идентификаторов CVE: от CVE-2025-32056 до CVE-2025-32063.
Исследователи рассказали, что процесс раскрытия информации о багах начался еще в августе 2023 года, но специалисты компании Nissan подтвердили наличие проблем только в январе 2024 года, а присвоение идентификаторов CVE заняло еще около года.
В дополнение к своему докладу эксперты опубликовали видео, в котором наглядно продемонстрировали, как использовали свои эксплоиты для удаленного взлома Nissan Leaf.
Представители Nissan сообщили СМИ, что компания не может раскрывать детали уязвимостей и предпринятых защитных мер из соображений безопасности. При этом в компании подчеркнули, что будут продолжать разрабатывать и внедрять технологии для борьбы с кибератаками «ради безопасности и спокойствия клиентов».
