Команда европейских «белых» хакеров, используя свой интеллект, клавиатуры и несколько приборов с eBay, сумела получить контроль над Nissan LEAF 2020 года, нарушив при этом все мыслимые правила конфиденциальности и безопасности.
Самое лучшее: они записали всё это.
Будапештские эксперты по кибербезопасности PCAutomotive смогли использовать ряд уязвимостей в Nissan LEAF 2020 года, которые позволили команде «белых» хакеров определять геолокацию и отслеживать автомобиль, записывать тексты и разговоры внутри салона, воспроизводить медиа через динамики автомобиля и даже (это действительно пугающая и опасная часть) поворачивать руль во время движения автомобиля. (!?)
Пожалуй, самая пугающая часть этой атаки заключалась в том, насколько легко ее удалось осуществить, начав с «симулятора испытательного стенда», собранного из деталей с eBay, и использовав уязвимость в DNS C2-канале и протоколе Bluetooth LEAF.
Команда PCAutomotive представила подробную 118-страничную презентацию своего эксплойта на Black Hat Asia 2025, которую мы включили внизу этой публикации на случай, если оригинальная ссылка перестанет работать. Если вас интересуют такие вещи, самое интересное начинается примерно с 27-й страницы. А если нет, просто знайте, что все уязвимости были раскрыты Nissan и его поставщикам между 02.08.2023 и 12.09.2024 (стр. 116/118), а саму «атаку» можно увидеть в видео ниже. Наслаждайтесь!
Обзор уязвимостей
- CVE-2025-32056 – обход противоугонной системы
- CVE-2025-32057 – app_redbend: MiTM-атака
- CVE-2025-32058 – v850: переполнение стека при обработке CBR
- CVE-2025-32059 – переполнение буфера стека, ведущее к RCE [0]
- CVE-2025-32060 – отсутствие проверки подписи модуля ядра
- CVE-2025-32061 – переполнение буфера стека, ведущее к RCE [1]
- CVE-2025-32062 – переполнение буфера стека, ведущее к RCE [2]
- PCA_NISSAN_009 – Некорректная фильтрация трафика между шинами CAN
- CVE-2025-32063 – Обеспечение постоянства для сети Wi-Fi
- PCA_NISSAN_012 – Обеспечение постоянства через CVE-2017-7932 в HAB i.MX 6
Удаленная эксплуатация Nissan LEAF
Мнение Electrek
Это одна из тех публикаций, которая, с другой стороны, отлично объясняет, как удаленный оператор может «войти» в автомобиль и вывести его из затруднительного положения, когда возникает необычная или пограничная ситуация.
К сожалению, это *также* одна из тех публикаций, на которую укажут некоторые из более невежественных анти-ЭВС-истериков и скажут: «Видите!? Электромобили можно взломать!» Но реальность такова, что практически любой автомобиль с электроусилителем руля (EPS), электронным управлением дроссельной заслонкой, тормозами с электронным управлением и т. д. может быть взломан аналогичным образом. Но, хотя поворот автомобиля цели в лобовое столкновение с грузовиком может быть отличным способом осуществить тайное убийство ЦРУ, более тревожной проблемой здесь является нарушение конфиденциальности и запись — если только вы не хотите провести некоторое время в тюрьме Сальвадора, полагаю.
Помните, дети: Большой Брат следит за вами.
ИСТОЧНИК | ИЗОБРАЖЕНИЯ: black hat.
Если вы рассматриваете возможность установки солнечных батарей, всегда полезно получить предложения от нескольких установщиков. Чтобы найти надежного и проверенного установщика солнечных батарей рядом с вами, предлагающего конкурентоспособные цены, посетите сайт EnergySage — бесплатный сервис, который позволяет легко перейти на солнечную энергию. У них есть сотни проверенных установщиков солнечных батарей, конкурирующих за ваш бизнес, что гарантирует вам высококачественные решения и экономию 20-30% по сравнению с самостоятельной установкой. Кроме того, сервис бесплатен, и вы не будете получать звонки от продавцов, пока не выберете установщика и не сообщите ему свой номер телефона.
Сравнить ваши персональные предложения по солнечной энергии легко онлайн, и вы получите доступ к беспристрастным энергетическим консультантам, которые помогут вам на каждом этапе. Начните здесь.