日产聆风漏洞可能导致黑客实施远程监控和物理控制

研究人员已经证明，影响日产聆风电动汽车的一系列漏洞可被利用来远程入侵汽车，包括进行监视和物理接管各种功能。

这项研究由 PCAutomotive 公司进行，该公司为汽车和金融服务行业提供渗透测试和威胁情报服务。日产聆风 (Nissan Leaf) 黑客攻击事件在上周的 Black Hat Asia 2025 大会上进行了详细披露。

PCAutomotive 的研究人员将目标锁定在 2020 年生产的第二代日产聆风上。他们发现的漏洞使他们能够利用信息娱乐系统的蓝牙功能渗透到汽车的内部网络。

然后，他们能够提升权限并通过蜂窝通信建立 C&C 通道，以通过互联网直接保持对 EV 的隐秘和持续访问。

研究人员表明，攻击者可以利用这些漏洞，通过追踪汽车位置、截取信息娱乐系统的屏幕截图以及记录车内人们的谈话来监视车主。

他们还能够远程控制各种物理功能，包括车门、雨刷、喇叭、后视镜、车窗、车灯，甚至方向盘，包括在汽车行驶时。

这些漏洞已被分配了八个 CVE 标识符：CVE-2025-32056 至 CVE-2025-32063。研究人员表示，漏洞披露流程于 2023 年 8 月启动，日产汽车于 2024 年 1 月确认了漏洞发现，但直到最近才分配了 CVE。

日产汽车的一位发言人在接受《安全周刊》采访时表示：“PCAutomotive 已就其研究事宜联系了日产汽车。虽然出于安全原因，我们拒绝透露具体的应对措施或细节，但为了客户的安全和安心，我们将继续开发和推广技术，以应对日益复杂的网络攻击。”

PCAutomotive 发布了一段视频，展示了如何利用他们的漏洞远程入侵日产聆风。

汽车漏洞可以带来巨大的经济价值。在最近的Pwn2Own 汽车黑客大赛中，参赛者因利用电动汽车充电器和信息娱乐系统漏洞共赢得了 88.6 万美元的奖金。

演示视频：

https://youtu.be/56VreoKtStw

新闻链接：

https://www.securityweek.com/nissan-leaf-hacked-for-remote-spying-physical-takeover/

讲述普通人能听懂的安全故事