Атака на мотоциклы Zero через уязвимость в прошивке: риски и защита

Недавно была выявлена серьезная уязвимость в прошивке электромотоциклов компании Zero Motorcycles, которая может привести к несанкционированному доступу и изменению программного обеспечения транспортного средства. Проблема заключается в том, что при использовании протокола Bluetooth отсутствует аутентификация сторон, участвовавших в обмене ключами шифрования. Это дает возможность злоумышленнику принудительно спарить свое устройство с мотоциклом и затем выполнить обновление прошивки удаленно, потенциально загружая вредоносное программное обеспечение.

Подробности уязвимости

Проблема затрагивает все версии прошивки до 44 включительно (CVE-2026-1354). Для успешной эксплуатации этой уязвимости необходимо выполнение нескольких условий:

• Мотоцикл должен находиться в режиме сопряжения по Bluetooth;
• Злоумышленник должен находиться поблизости от транспортного средства;
• Он должен знать весь процесс паринга устройства с мотоциклом. После успешного подключения злоумышленника к транспортному средству, он сможет использовать функцию обновления прошивки по воздуху (OTA), чтобы загрузить свою версию прошивки, содержащую вредоносный код.

Последствия атаки

Если атака будет успешно проведена, это может иметь серьезные последствия для владельца мотоцикла и самого транспортного средства. Возможные сценарии включают:

• Потеря контроля над функциями безопасности и управления транспортным средством;
• Возможность кражи личных данных пользователя, хранящихся в памяти мотоцикла;
• Нарушение работы критически важных систем, таких как система торможения или аккумуляторная батарея. Кроме того, успешная эксплуатация данной уязвимости может нанести ущерб репутации производителя транспортных средств и вызвать недоверие среди пользователей.

Как защитить себя?

Компания Zero Motorcycles уже начала работу по устранению проблемы и планирует выпустить исправление в мае 2026 года. До этого момента пользователям рекомендуется соблюдать следующие меры предосторожности:

• Выполнять процедуру сопряжения мобильного устройства с мотоциклом только в безопасных местах, где можно исключить попытки других людей одновременно провести подключение;
• После инициирования процесса сопряжения убедиться, что оно прошло успешно и завершить его полностью;
• Хранить физические ключи в надежном месте и никогда не оставлять мотоцикл без присмотра с включенным зажиганием. Эти простые шаги помогут минимизировать риск использования данной уязвимости против вас.

Что дальше?

Несмотря на то, что производитель обещает устранить проблему в ближайшем будущем, важно помнить, что подобные инциденты подчеркивают необходимость регулярного обновления прошивок и внимательного отношения к вопросам информационной безопасности даже в области транспорта. Владельцам мотоциклов следует регулярно проверять наличие обновлений и устанавливать их сразу после выхода.

Как проверить с помощью Perimeter

Хотя платформа Perimeter ориентирована преимущественно на корпоративные сети и веб-приложения, она также предоставляет инструменты для анализа безопасности мобильных устройств и приложений. Например, инструмент technology detector помогает выявить используемые технологии и потенциальные угрозы, связанные с ними. Хотя данная функция не предназначена специально для проверки прошивок мотоциклов, она может дать общее представление о возможных рисках, связанных с использованием устаревших технологий или протоколов связи.