Хакеры жмут на газ. Почему число кибератак на автомобили растет год за годом

Компьютеры на колесах

Около 350 миллионов автомобилей по всему миру могут быть взломаны через подключение к их развлекательным системам по Bluetooth — об этом говорится в недавнем исследовании PCA Cyber Security.

Современные автомобили в большинстве случаев имеют блок телематики и постоянное подключение к серверам производителя, что позволяет как удаленно управлять автомобилем, так и проверять его статус, говорит в беседе с SecPost руководитель направления исследований безопасности аппаратных решений Positive Technologies Алексей Усанов.

«Кроме того, машины собирают большое количество данных о «пользовательском опыте», в который входит анализ стиля вождения, использования органов управления и так далее. Эти данные впоследствии передаются на сервер производителя», — рассказывает эксперт.

Кроме того, во многих автомобилях, особенно китайского производства, также существует мастер-аккаунт, к которому «привязывается» автомобиль. В результате объектом атаки могут быть как сами автомобили (через беспроводные интерфейсы, Wi-Fi, Bluetooth, мультимедиа системы или блок телематики), так и приложения для удаленного управления или инфраструктура производителя, включая мастер-аккаунт, отмечает Алексей Усанов.

Между тем эксперты Kaspersky ICS-CERT оценивают риск взлома современных автомобилей как средний, а старых — как минимальный. Хуже всего обстоят дела у устаревших автомобилей, переходного звена от машин, в которых «нечего ломать», к сегодняшним «гаджетам на колесах» с многочисленными датчиками и интерфейсами.

«Наибольшему риску взлома подвержены автомобили предыдущих поколений — те, что уже оснащены развитой мультимедийной системой, но еще без жесткого харденинга, такого как повсеместное шифрование. Современные модели защищены лучше: в них применяется изоляция сетей, криптографические ключи для аутентификации блоков и обновления по подписанным OTA-пакетам», — соглашается руководитель управления анализа защищенности компании BI.ZONE Михаил Сидорук.

Китайские производители, по словам эксперта, занимают промежуточное положение. Их уровень технологий быстро растет, но быстрый производственный цикл не всегда оставляет время на полноценную проверку безопасности. Из-за этого в коде или API нередко встречаются элементарные ошибки, которые производители обычно устраняют быстро — чаще не патчами, а выпуском новой модели. Если смотреть ретроспективно, например, последние пять лет, в целом китайский автопром быстро догоняет мировых лидеров по уровню защиты, а где-то и перегоняет их, отмечает Михаил Сидорук.

Механизмы проникновения

Все виды взломов автомобилей условно можно разделить на простые и технически сложные, объясняет Михаил Сидорук. Простой взлом — это, как правило, ретрансляция сигнала или подключение к шинам автомобиля и обход иммобилайзера. Раньше злоумышленники часто использовали код-грабберы, но производители автомобилей и сигнализаций уже научились защищаться от них.

«С ретрансляцией дела обстоят сложнее. Злоумышленник ретранслирует сигнал между автомобилем и брелоком, увеличивая его дальность с 2–3 метров до большего расстояния. Речь не идет о взломе криптографии, а лишь о передаче сигнала», — рассказывает собеседник SecPost.

Большая часть автомобилей после запуска не требуют подтверждения от брелока для движения, что сделано ради безопасности водителя. Это и является основой большинства атак на автомобили.

В то же время технически сложные атаки Михаил Сидорук делит на две категории. Первая — это удаленные атаки через интернет: уязвимости в API телематических сервисов, облачных порталов и мобильных приложений. Второй тип атак связан с физическим доступом к автомобилю. Злоумышленники могут подключиться к диагностическим портам (например, OBD) и USB, взломать системы бесключевого доступа, подключиться к шинам данных автомобиля или взломать несертифицированные трекеры и телематические устройства.

«Для владельца автомобиля взлом — это не просто потеря транспортного средства. Современные мультимедийные системы и T-Box знают о нас больше, чем мы можем себе представить. Они хранят историю маршрутов, оснащены микрофонами и камерами, автоматически синхронизируют контакты со смартфона», — отмечает Михаил Сидорук.

Получив доступ к этим системам, злоумышленник может не только украсть данные, но и установить постоянный канал связи с автомобилем. Некоторые исследования указывают на возможность более сложных атак, когда злоумышленник пытается проникнуть в другие системы автомобиля через взломанное головное устройство или систему телеметрии.

Российский ландшафт

Согласно исследованию компании «Технологии безопасности транспорта» (имеется в распоряжении SecPost), за первые восемь месяцев 2025 года в России было выявлено 328 инцидентов c кибератаками на автомобили — в среднем 41 атака в месяц. Рост по сравнению с аналогичным периодом прошлого года, когда было выявлено 273 инцидента, составил 20%.

Говоря о проблемах в сфере автомобильной кибербезопасности, аналитики ТБТ обращают внимание на ряд нерешенных проблем. Одна из них — недостаточная интеграция российского автомобильного сектора с международными стандартами безопасности.

«Некоторые производители отечественных автомобилей продолжают отставать от передовых мировых практик в части внедрения сложных решений кибербезопасности, предпочитая ориентироваться преимущественно на базовые решения», — отмечают аналитики, дополняя, что отсутствие единых методик оценки рисков также ограничивает возможности эффективного анализа существующих угроз.

Еще одна серьезная проблема, которая сегодня в России прорабатывается как органами власти, так и представителями бизнеса — это локализация хранения телематических данных от транспортных средств на территории России.

«Телематические данные от автомобилей (…) продолжают уходить за границу. В России этот вопрос остается нерешенным, несмотря на его активную проработку в течение трех последних лет», — подчеркивается в исследовании ТБТ. Впрочем, важно отметить, что эти проблемы преимущественно касаются лишь официальных продаж автомобилей в России. Последние годы в стране активно развивался параллельный импорт машин, который в силу своей специфики породил свои собственные киберриски.

Серая зона

Активный параллельный импорт автомобилей в России привел к росту количества серых головных устройств и блоков, импортированных без русификации и лишенных обновлений, рассказывает Михаил Сидорук. Появился отдельный рынок перепрошивок, а специалисты по русификации научились анализировать дампы прошивок, эмулировать CAN-трафик и работать с восстановленными исходными кодами приложений.

«Они ищут и покупают уязвимости, которые позволяют прошивать машины без разборки и вытаскивания головного устройства», — объясняет собеседник SecPost.

Вынужденный рост числа машин, подвергшихся «перепрошивке» / взлому для активации недоступных по разным причинам сервисов или же ввезенных в Россию и функционирующих в части телематических сервисов по «серым схемам» — одна из причин того, что в России число кибератак на машины, по разным оценкам, на сентябрь 2025 года выросло на 20-25% по отношению к прошлому году, говорит в беседе с SecPost исполнительный директор консорциума «Автоэлектроника» Дмитрий Корначев.

«Вторая причина — усложнение или невозможность обновлять ПО в автомобилях иностранных брендов. Такие риски, по моим оценкам, актуальны для 4-5 миллионов автомобилей в России», — рассказывает специалист.

Такие машины, по словам Дмитрия Корначева, в настоящее время не могут обновлять ПО «по воздуху» или же их владельцы пренебрегают возможностью регулярно обновлять ПО автомобилей в сервисных центрах, что актуально для китайских машин.

Наконец, третья причина — это общемировой тренд роста уровня оснащенности автомобилей электронными системами, что делает их уязвимыми к удаленному взлому. Впрочем, этот технологический фактор дает незначительный вклад в рост числа успешных атак — примерно 2-4% в год, отмечает Дмитрий Корначев.

Алгоритмы защиты

По словам экспертов, опрошенных SecPost, у проблемы роста числа кибератак на автомобили есть три уровня решения: государства, производителей и непосредственно автовладельцев. К первому, как следует из отчета компании ТБТ, относится создание национального центра мониторинга угроз автомобилестроительной индустрии VSOC, функционирующего на базе АО «ГЛОНАСС», которое является «одним из наиболее перспективных направлений» в этой области.

«Центр займется разработкой методологии обнаружения аномалий поведения транспортных средств, а также координацией усилий по предотвращению возможных киберинцидентов. Эта инициатива направлена на повышение общей устойчивости российского парка автомобилей к внешним угрозам», — отмечается в исследовании.

Что касается производителей, то, по словам Михаила Сидорука, сегодня на рынке уже работают команды, которые специализируются на анализе защищенности автомобильных электронных систем. Они проверяют электронные модули и компоненты автомобилей, включая телематические и мультимедийные блоки, начиная с анализа механизмов доверенной загрузки SoC и заканчивая анализом безопасности приложений и драйверов операционной системы.

Рядовым автолюбителям специалист советует избегать установки сомнительных устройств в OBD-порт, не подключать несертифицированные трекеры и сигнализации в проводку автомобиля и не ставить сторонние прошивки головных устройств от компаний, которые не зарекомендовали себя на рынке. Риски здесь могут быть очень серьезными: например, после одной из русификаций пользователь остался с открытым Wi-Fi и включенным Wi-Fi over ADB с рутовым доступом к головному устройству.

«Если же мультимедийная система работает на Android, относиться к ней стоит как к обычному смартфону — например, не давать ненужные разрешения приложениям и ставить их только из доверенных источников», — заключает Михаил Сидорук.