Хакери показаха как се пробива защитата на Tesla

Екипът на Synactiv използва две неизвестни досега уязвимости, за да проникне в информационно-развлекателната система на автомобилите на Илон Мъск, демонстрирайки, че едно обикновено USB устройство може да превърне превозното ви средство в шпионско устройство. Въпреки че шофирането не беше пряко засегнато, това нарушение разкри целия дигитален живот на водача, от ежедневните му пътувания до работа до текстовите му съобщения, принуждавайки производителя спешно да отстрани уязвимостта в рамките на 90 дни.

Това се е превърнало в нещо като традиция, почти в ритуал, от който инженерите от Силициевата долина трябва да се страхуват. На всяко Pwn2Own, глобалното събиране на етични хакери, екип от хакери напомня на автомобилната индустрия, че софтуерът ѝ далеч не е неприкосновен. И тази година, за изданието през 2026, изследователи от Synactiv, компания за киберсигурност, базирана в Париж и Тулуза, не губеха време, пише AutoMedia.

Още от самото начало те се насочиха към мултимедийната система на Tesla. Атаката разчиташе на използване на две така наречени уязвимости от типа „нулев ден“. На жаргон този термин се отнася до уязвимости, които са съществували в кода от самото начало, но са напълно непознати на разработчиците и за които не съществува корекция.

За да осъществят атаката си, френският екип разработи двустранна стратегия. Първата стъпка включваше да накарат системата да „проговори“. Чрез включване на устройство в USB порта на автомобила, изследователите използваха първоначална слабост, която принуди бордовия компютър да изведе вътрешна информация. След като получиха тази информация, те успяха да калибрират втората част от атаката.

Втората уязвимост, която идентифицираха, беше грешка при запис извън границите. Казано по-просто, представете си софтуера на Tesla като ученическа тетрадка, където всяка страница има специфична функция. Изследователите намериха начин да пишат извън полетата, където теоретично е забранено, за да презапишат системните инструкции със свой собствен злонамерен код. Като принудиха системата да изпълни този чужд код с най-високи администраторски права, те получиха пълен контрол.
 
Колата ви знае повече за вас, отколкото вашият партньор 

Въпреки че демонстрацията е впечатляваща, последиците за средностатистическия шофьор са тревожни. След като получите ключовете за информационно-развлекателната система, колата се превръща в отворена книга за личния ви живот. Всъщност днес нашите превозни средства са продължение на нашите смартфони, тъй като им поверяваме всичко, често без да го осъзнаваме.

Като поемат контрола над системата на автомобила, изследователите могат да получат достъп до златна мина от лични данни (адресна книга, история на обажданията, текстови съобщения, имейли и др.). Но има нещо още по-коварно. Навигационната система записва всяко ваше движение. Хакер, който използва тази уязвимост, може да изтегли цялата ви история на дестинациите.

Ситуацията обаче трябва да се разглежда в перспектива, за да се избегне паника. Тази атака има физическо ограничение, тъй като в момента изисква достъп до USB порта на превозното средство. Това естествено ограничава рисковете за собствениците. От друга страна, сценарият е много по-тревожен за фирмените автопаркове, компаниите за коли под наем, както и за услугите за споделено пътуване и таксита. Злонамерен клиент би могъл лесно да компрометира системата за минути, оставяйки шпионския софтуер да работи във фонов режим, за да открадне данните на следващите шофьори.

Tesla, подобно на други производители, твърди, че компютърът, управляващ екрана, е изолиран и отделен от този, който контролира спирачките, волана или автопилота. Експертите по киберсигурност обаче редовно посочват, че тези дялове не винаги са толкова сигурни, колкото се твърди. Сега топката е в полето на калифорнийския производител. Компанията има 90 дни, за да анализира метода на френските хакери и да внедри корекция чрез актуализация по въздуха, преди процесът на хакерство да бъде оповестен публично.