Команда дослідників з компанії PCAutomotive виявила серію критичних вразливостей у системі безпеки Nissan Leaf 2020 року. Знайдені недоліки дозволяють зловмисникам отримати несанкціонований віддалений доступ до критичних функцій електромобіля та здійснювати приховане спостереження за його власником.

Технічний аналіз виявлених вразливостей

Експерти з кібербезпеки продемонстрували складний ланцюжок експлойтів, що починається з проникнення через вразливості Bluetooth-інтерфейсу інформаційно-розважальної системи. Особливу небезпеку становить можливість підвищення привілеїв у внутрішній мережі автомобіля та встановлення постійного з’єднання через стільниковий модуль. Це забезпечує зловмисникам довготривалий віддалений контроль над транспортним засобом.

Масштаб потенційних загроз

Виявлені вразливості створюють безпрецедентні ризики для власників Nissan Leaf. Зловмисники отримують можливості:
– здійснювати GPS-трекінг автомобіля в режимі реального часу
– перехоплювати дані з інформаційно-розважальної системи
– вести аудіозапис розмов у салоні
– маніпулювати критичними системами керування, включно з гальмами та кермом

Процедура розкриття інформації про вразливості

Дослідники дотримувались стандартного протоколу відповідального розкриття інформації. Вразливостям присвоєно вісім унікальних ідентифікаторів CVE. Незважаючи на початкове повідомлення виробника у серпні 2023 року, офіційне підтвердження від Nissan надійшло лише в січні 2024 року. Всі знахідки підкріплені відеодемонстрацією успішної експлуатації вразливостей.

Хоча Nissan утримується від розкриття технічних деталей вразливостей, компанія заявила про активну розробку оновлень безпеки. Експерти з кібербезпеки наполегливо рекомендують власникам Nissan Leaf регулярно перевіряти наявність оновлень програмного забезпечення та встановлювати їх негайно після випуску. Додатково рекомендується обмежити використання Bluetooth-з’єднання та регулярно проводити аудит підключених пристроїв для мінімізації ризиків несанкціонованого доступу.