Кратко: Современный электромобиль — компьютер на колесах. Он подключен к интернету, обновляется по воздуху, общается со смартфоном и скоро будет обмениваться данными со светофорами. Чем больше кода — тем больше дыр. Хакеры могут открыть двери, отключить тормоза, украсть машину или взломать зарядную станцию. Это не теория — это уже реальность, за которую платят деньги на Pwn2Own.

▫️ CAN-шина: Ахиллесова пята Внутри авто электронные блоки управления (ECU) общаются через шину CAN. Тормоза, двигатель, подушки безопасности — всё на одной шине. Проблема: CAN не имеет аутентификации и шифрования. Любой, кто получил доступ к шине, может отправлять поддельные команды. 2015 год. Миллер и Валасек дистанционно взломали Jeep Cherokee через мультимедиа, отправили команды на CAN-шину и отключили тормоза на скорости 110 км/ч. Шок для автопрома.

▫️ Атака на TPMS: Взлом Tesla за $200 000 Датчики давления в шинах (TPMS) — маленькие беспроводные устройства. Исследователи Synacktiv нашли уязвимость в Tesla Model 3 через TPMS. Хакер подключается к TPMS с помощью ESP32 ($5), вызывает состояние гонки, заставляет модуль безопасности перерегистрировать датчики и подменяет их на свои. В итоге злоумышленник отправляет произвольные CAN-команды: открывает двери, глушит двигатель. За атаку исследователи получили $200 000 и саму Tesla.

▫️ Модем в машине: Doom на приборной панели Китайское головное устройство на базе модема Unisoc UIS7862A имеет уязвимость переполнения стека в протоколе 3G RLC (CVE-2024-39432). Злоумышленник отправляет спецпакет на раннем этапе подключения к сети, выполняет код на модеме и через DMA переходит на Android-систему. На демонстрации исследователи запустили Doom прямо на приборной панели.

▫️ Зарядные станции: Новая цель Электромобили подключаются к зарядкам через протокол OCPP. Найдены уязвимости: переполнение стека в обработке OCPP-сообщений (CVE-2026-4156) и отсутствие аутентификации в WebSocket (CVE-2026-25192). Последствия: · Отключение целых сетей зарядки · Кража электроэнергии · Внедрение вирусов в подключённые авто

▫️ Цифры 2025-2026 · 328 атак за восемь месяцев 2025 года (+20% к 2024) · 93% атак удалённо · 85% удалённых атак — через Bluetooth и облака

▫️ Известные взломы · Tesla Model S: управление люком, тормозами, дверями · CAN-инъекции в Freightliner Cascadia через диагностические протоколы · Уязвимость VCSEC в Tesla через TPMS · Уязвимость модема Unisoc · Уязвимости OCPP в зарядных станциях

▫️ Как защищаются производители · OTA-обновления — исправляют уязвимости удалённо · Bug Bounty — платят за найденные дыры (Tesla и другие) · Шлюзы безопасности — отделяют критичные сети (тормоза, двигатель) от мультимедиа · Secure Boot и изоляция

▫️ Современное положение (2026) Автомобильная безопасность — это IT-безопасность с ценой ошибки в виде ДТП. CAN-шину начали защищать через аутентификацию MACSec и изоляцию подсистем. Производители внедряют системы мониторинга вторжений (IDS) для CAN-сетей.

Главный вывод: Электромобиль — компьютер с колесами. Устанавливайте обновления, не подключайтесь к подозрительным зарядкам, отключайте ненужные беспроводные интерфейсы. Потому что единственное, что стоит между вами и хакером, управляющим тормозами — это своевременно установленный патч.

#автомобили #электромобили #кибербезопасность #tesla #canшина #хакеры #инфобез