Inteligentne pojazdy to zagrożenie. Hakerzy mogą przejąć kontrolę nad autem

Coraz bardziej zaawansowane technologicznie samochody otwierają nowe możliwości – nie tylko dla kierowców, ale niestety również dla cyberprzestępców.

Najnowsze doniesienia z konferencji Black Hat Asia 2025 pokazują, że luka w zabezpieczeniach elektrycznego Nissana Leaf z 2020 roku może zostać wykorzystana do przejęcia zdalnej kontroli nad pojazdem – z opcją śledzenia, podsłuchiwania, a nawet manipulowania systemami pokładowymi.

Z pozoru niewinny komunikat, w rzeczywistości furtka dla hakera

Zespół specjalistów ds. cyberbezpieczeństwa z PCAutomotive ujawnił niepokojący scenariusz, w którym wystarczy prosty zabieg blokowania sygnału Bluetooth, aby nakłonić właściciela pojazdu do wejścia w ustawienia systemu – nieświadomie otwierając furtkę do całego komputera pokładowego.

Mechanizm ataku jest technicznie złożony, ale oparty na łatwej do sprowokowania interakcji użytkownika. Wystarczy, że haker zablokuje pasmo 2,4 GHz, powodując zerwanie połączenia np. ze smartfonem. Samochód w odpowiedzi wyświetla komunikat o błędzie łączności, który zachęca kierowcę do wejścia w menu systemu infotainment. To właśnie wtedy złośliwy kod może zostać wstrzyknięty do systemu.

Efekt? Pełny dostęp do newralgicznych funkcji samochodu – od układu kierowniczego i hamulców, po klimatyzację, wycieraczki, a nawet… nagrywanie dźwięku z wnętrza kabiny i śledzenie lokalizacji GPS.

Dziewięć luk, które otwierają drzwi dla ataku

Eksperci z PCAutomotive opublikowali szczegółową listę luk bezpieczeństwa, które umożliwiają tzw. RCE (Remote Code Execution) – zdalne wykonanie kodu na urządzeniu ofiary. Wśród nich znalazły się:

• CVE-2025-32056 – obejście systemu antykradzieżowego

• CVE-2025-32057 – atak typu Man-in-the-Middle w module app_redbend

• CVE-2025-32058 / 59 / 61 / 62 – przepełnienia bufora stosu

• CVE-2025-32060 – brak weryfikacji podpisu modułów jądra

• PCA_NISSAN_009 / 012 – błędy trwałości i nieprawidłowe filtrowanie ruchu CAN

Eksploit dotyczy wyłącznie modelu Nissan Leaf z 2020 roku, co znacząco ogranicza jego zasięg. Co więcej, luka została odpowiedzialnie zgłoszona producentowi jeszcze przed publikacją na Black Hat, dzięki czemu Nissan zdążył przygotować aktualizację oprogramowania układowego, łatającą krytyczne błędy.

Podsłuch i lokalizacja – cenny cel dla cyberprzestępców

Choć możliwość zdalnego prowadzenia samochodu bez kamer i widoku zewnętrznego pozostaje mało praktyczna, to nagrywanie rozmów w kabinie oraz śledzenie GPS otwiera poważniejsze scenariusze nadużyć – od kradzieży po szpiegostwo gospodarcze.

„Podsłuchane rozmowy mogą zawierać poufne informacje, szczególnie jeśli pojazd należy do menedżera, polityka czy dziennikarza” – ostrzegają badacze. „Połączenie danych audio z lokalizacją GPS może tworzyć precyzyjny profil aktywności użytkownika – a to złoto dla przestępców i grup wywiadowczych.”

Rosnące ryzyko w epoce połączonych pojazdów

Ten przypadek jest tylko jednym z wielu przykładów narastającego zagrożenia w epoce aut połączonych – czyli pojazdów z dostępem do internetu, komunikujących się z chmurą, smartfonami i infrastrukturą miejską. Tzw. cyberpojazdy oferują komfort i funkcjonalność, ale jednocześnie otwierają wiele „wejść” dla cyberataków.

Eksperci apelują do użytkowników, aby regularnie aktualizowali oprogramowanie swoich pojazdów – podobnie jak robią to ze smartfonami. „Samochód to dzisiaj komputer na kołach – i wymaga takiej samej troski o bezpieczeństwo danych” – komentuje PCAutomotive.