A PCAutomotive biztonsági kutatói a Black Hat Asia 2025 konferencián mutatták be, hogyan sikerült távolról átvenniük az irányítást egy 2020-as gyártású, második generációs Nissan Leaf elektromos jármű felett. A több lépcsős támadás nemcsak megfigyelést, hanem bizonyos járműfunkciók távoli manipulálását is lehetővé tette – mindezt akár több száz kilométeres távolságból.
A Black Hat konferenciasorozat a világ egyik legrangosabb kiberbiztonsági eseménye, ahol minden évben bemutatják a legújabb sebezhetőségeket és támadási technikákat. A 2025-ös ázsiai esemény kiemelt figyelmet fordított az autóipari kiberbiztonságra, hangsúlyozva, hogy a modern autók mára szinte gördülő számítógépek.
A támadás első lépése a jármű infotainment rendszerének Bluetooth interfészét célozta, amelyen keresztül sikerült belépni a jármű belső hálózatába. Mivel ezek a rendszerek gyakran hiányos szegmentációval és elégtelen hozzáférés-kezeléssel rendelkeznek, a kutatók képesek voltak jogosultsági szintet emelni, és további hozzáféréseket szerezni.
A sikeres behatolást követően a támadók egy Command and Control (C2) csatornát állítottak fel mobilhálózaton keresztül, amely lehetővé tette a folyamatos, távoli elérést és a jármű teljes irányítását internetes kapcsolaton keresztül.
A demonstráció során a kutatók bebizonyították, hogy az alábbiakat tudták távolról végrehajtani:
- A jármű GPS-alapú követése valós időben;
- Az infotainment kijelző képernyőmentéseinek készítése;
- Belső hangrögzítés, lehallgatás;
- Fizikai funkciók távoli vezérlése: ajtók nyitása/zárása, ablaktörlők, duda, világítás, ablakemelők, tükrök mozgatása, sőt a kormánykerék távoli manipulálása is lehetséges volt – akár mozgás közben.
A PCAutomotive egy részletes videót is közzétett, amelyben valós időben mutatják be, hogyan vették át az autó feletti irányítást távoli helyszínről.
Összesen nyolc különböző CVE-azonosítóval látták el a felfedezett biztonsági réseket. A kutatók 2023 augusztusában jelentették a hibákat a Nissannak, amely 2024 januárjában megerősítette a problémák létezését.
A sérülékenységek legfőképp az infotainment rendszer szoftverarchitektúrájából, a jogosultságkezelés hibáiból, valamint a mobilkommunikációs modulok elégtelen elszigeteléséből fakadtak.
A Nissan nem részletezte, hogy a problémák megoldása OTA (Over-the-Air) frissítéssel vagy szervizkampány keretében történt-e.
Forrás: nki.gov.hu
