Эксперты безопасности из PCAutomotive обнаружили в бортовой системе электрокара Nissan Leaf несколько критических уязвимостей. Согласно отчёту, который компания представила на конференции Black Hat Asia 2025, уязвимости могли использоваться для несанкционированного доступа к управлению автомобилем, слежки за его владельцем и получения контроля над различными функциями.
Объектом исследования стал электромобиль Nissan Leaf второго поколения 2020 года выпуска. Эксперты заявляют, что найденные уязвимости позволяли повысить уровень доступа и установить канал связи с управляющим сервером через сотовую сеть, что обеспечивало скрытый и постоянный доступ к электрокару через интернет.
Злоумышленник мог эксплуатировать недостатки безопасности для отслеживания действий и местоположения владельца Nissan Leaf, получения снимков экрана информационно-развлекательной системы и записи разговоров в салоне.
Кроме того, обнаруженные проблемы позволяли удалённо управлять различными функциями автомобиля, такими как открытие дверей, включение стеклоочистителей, подача звукового сигнала, регулировка зеркал и окон, управление фарами и рулевым колесом, в том числе во время движения.
Эксперты также опубликовали видео с демонстрацией использования обнаруженных эксплоитов для удалённого взлома Nissan Leaf.
Уязвимостям были присвоены восемь идентификаторов CVE в диапазоне от CVE-2025-32056 до CVE-2025-32063. В PCAutomotive отметили, что впервые сообщили Nissan о найденных уязвимостях ещё в августе 2023 года, однако автопроизводитель подтвердил их наличие только в январе 2024 года, а присвоение идентификаторов CVE заняло ещё около года.
В Nissan заявили, компания не раскрывает подробности об уязвимостях и принятых мерах безопасности из соображений конфиденциальности. При этом автопроизводитель подчёркивает, что продолжит разработку и внедрение технологий для защиты от киберугроз.
