Beveiligingsonderzoekers hebben ernstige kwetsbaarheden ontdekt in de Nissan Leaf 2020. Ze laten zien hoe de auto op afstand kan worden gevolgd, in de gaten kan worden gehouden en fysiek kan worden bestuurd in een verontrustende escalatie, inclusief het stuursysteem.
De demonstratie van het Hongaarse bedrijf PCAutomotive op de Black Hat Asia 2025 conferentie onthulde dat er geen geavanceerde hardware nodig was voor de aanval. In plaats daarvan gebruikte het team direct beschikbare tools en een deskundig begrip van de software van de Leaf om het voertuig te compromitteren.
‘Gehackt door PCAutomotive’.’
De onderzoekers werkten via het infotainmentsysteem van de auto, begonnen met een Bluetooth-exploit, verplaatsten zich lateraal door interne netwerken en kregen uiteindelijk blijvende controle via de mobiele verbinding van het voertuig. Hierdoor kregen ze volledige toegang tot de auto via het internet.
In een live demo toonden de hackers een huiveringwekkend toegangsniveau. Ze lokaliseerden het voertuig via GPS, kaapten het display van het dashboard met een ‘Hacked by PCAutomotive’ banner en gebruikten de ingebouwde microfoon om gesprekken op te nemen, die ze later via de luidsprekers van het voertuig afspeelden - en dat alles zonder fysiek in de buurt van de auto te hoeven zijn.
Het binnendringen ging nog verder. De onderzoekers manipuleerden fysieke onderdelen: spiegels, ramen, lichten, ruitenwissers, sloten en de claxon. Het meest verontrustende was dat ze op afstand het stuurwiel draaiden terwijl de auto geparkeerd en in beweging was. Terwijl gas geven en remmen buiten bereik bleven, roept alleen al de mogelijkheid om het sturen te beïnvloeden grote vragen op over de veiligheid van de bestuurder.
Nissan, benaderd voor commentaar, bood weinig geruststelling. “PCAutomotive heeft contact opgenomen met Nissan over zijn onderzoek”, aldus een woordvoerder. “Hoewel we om veiligheidsredenen weigeren specifieke tegenmaatregelen of details bekend te maken, zullen we voor de veiligheid en gemoedsrust van onze klanten doorgaan met het ontwikkelen en uitrollen van technologieën om steeds geavanceerdere cyberaanvallen te bestrijden.’
Die vaagheid is niet onopgemerkt gebleven. De hoofdonderzoeker van PCAutomotive, Danila Parnishchev, zei dat het bedrijf geen aanwijzingen had ontvangen dat de kwetsbaarheden waren verholpen. “Anders zouden we die details graag delen,” voegde hij eraan toe.
Gebrek aan software-ervaring?
De aflevering belicht een hardnekkig probleem in de moderne autofabricage: traditionele autofabrikanten bouwen steeds meer connected, softwarezware voertuigen zonder de bijbehorende expertise in cyberbeveiliging. Het aanvalsoppervlak is gegroeid, maar de verdediging heeft geen gelijke tred gehouden.
Dit is niet de eerste keer dat de Leaf in aanraking komt met onveiligheid. In 2016 maakten onderzoekers misbruik van fouten in de bijbehorende app om de klimaatinstellingen op afstand te wijzigen. Het jaar daarvoor konden aanvallers via een andere hack van een Jeep Cherokee de transmissie van de auto op de snelweg uitschakelen - een lek dat leidde tot een terugroepactie van 1,4 miljoen voertuigen.
Voor bestuurders van de Nissan Leaf en iedereen die achter het stuur van een modern verbonden voertuig zit, is de demonstratie een duidelijke herinnering dat hoe meer software de auto bestuurt, hoe meer controle er op het spel staat.
