Фары, облака и Game Boy. Полный гид по тому, как хакеры угоняют машины в 2026 году

Ваш автомобиль — больше не просто средство передвижения. Это компьютер на колёсах со 100 миллионами строк кода, десятками электронных блоков управления и постоянным подключением к интернету. А где есть код и сеть — там найдутся и те, кто захочет это взломать. И судя по статистике 2024–2025 годов, желающих становится всё больше.

По данным отчёта Upstream Security, количество киберинцидентов в автомобильной отрасли выросло на 39% за год. При этом 92% всех атак теперь выполняются удалённо, а 85% из них вообще не требуют физической близости к машине. Злоумышленник может сидеть на другом континенте и при этом открывать двери вашего автомобиля, отслеживать маршруты или даже влиять на работу двигателя.

Но как именно это работает? Какие уязвимости эксплуатируют хакеры и угонщики? И главное — можно ли от этого защититься? Разберёмся детально.

CAN-шина: нервная система без иммунитета

Начнём с основ. Внутри любого современного автомобиля десятки электронных блоков управления (ЭБУ) общаются между собой по специальной сети — шине CAN (Controller Area Network). Эта технология появилась в 1980-х годах, когда о кибербезопасности автомобилей никто даже не задумывался. И в этом корень проблемы.

Протокол CAN проектировался для надёжной передачи коротких сообщений в условиях электромагнитных помех. Безопасность? Какая безопасность — кто вообще полезет внутрь машины с ноутбуком? Оказалось, что желающих хватает.

Главная проблема CAN — архитектура «доверия по умолчанию». В сообщениях нет информации об отправителе и получателе. Идентификатор указывает только на тип данных (например, «обороты двигателя»), но не на то, кто их отправил. Никакой аутентификации — принимающий блок не проверяет, действительно ли команда пришла от легитимного источника. И никакого шифрования — вся информация передаётся в открытом виде.

Что это означает на практике? Любое устройство, подключённое к шине, может отправлять команды от имени любого другого. Хотите выключить тормоза? Заглушить двигатель на ходу? Система просто выполнит команду, не задавая лишних вопросов.

CAN-инъекции: угон через фару

Ещё несколько лет назад для взлома CAN требовался физический доступ к диагностическому порту OBD-II. Но угонщики — народ изобретательный. В 2022–2023 годах они нашли более элегантный способ.

Исследователи Ян Тейбор и Кен Тинделл детально разобрали метод, который получил название CAN-инъекция. Схема такая: современные автомобили оснащаются адаптивными фарами, управляемыми по шине CAN. Это означает, что провода CAN идут прямо в зону бампера — а бампер отогнуть или повредить не так уж сложно.

Злоумышленники подключают к разъёму фары устройство, замаскированное под портативную Bluetooth-колонку. Внутри — микроконтроллер и CAN-трансивер. Устройство удерживает линию в доминантном состоянии, вызывая ошибки у легитимных передатчиков и заставляя их отключиться от шины. После этого инжектор отправляет поддельное сообщение от имени блока Smart Key: «Ключ валидирован, отключить иммобилайзер». Машина снимается с охраны, двери открываются, двигатель заводится. Весь процесс — меньше двух минут.

Особенно уязвимы оказались модели Toyota и Lexus. В России, по данным МВД, в 2024 году зарегистрировано более 10 700 угонов автомобилей — и значительная часть из них совершена именно такими высокотехнологичными методами.

Ретрансляция сигнала: удочка для бесключевого доступа

Системы бесключевого доступа PKE (Passive Keyless Entry) — это удобно. Подошёл к машине с ключом в кармане — двери открылись. Сел — нажал кнопку, поехал. Но у этого удобства есть обратная сторона.

Атака ретрансляции, или «удочка», эксплуатирует физику радиоволн. Автомобиль постоянно посылает низкочастотный сигнал поиска ключа. Если ключ рядом, он отвечает на ультравысокой частоте. Система не проверяет расстояние — только факт ответа.

Злоумышленникам нужны два устройства и два человека. Первый стоит у машины с эмулятором, второй — рядом с домом владельца или следует за ним в торговом центре. Сигнал от машины передаётся через высокоскоростной канал к ключу, ключ отвечает, ответ ретранслируется обратно. Машина «думает», что ключ рядом, и открывается.

В Европе волна таких угонов прокатилась в 2016–2019 годах. Преступники за секунды вскрывали премиальные автомобили, припаркованные у домов владельцев. Немецкий автоклуб ADAC протестировал десятки моделей — большинство оказались уязвимы.

Производители внедряют контрмеры: брелоки с датчиками движения («засыпают» неподвижными), технология UWB с измерением времени пролёта. Но на дорогах ещё миллионы машин со старыми системами.

RollJam и RollBack: обход плавающих кодов

Для защиты от перехвата в системах дистанционного открытия используются «плавающие коды» — счётчик в ключе и машине синхронно увеличивается. Но и здесь нашли лазейку.

Метод RollJam: устройство глушит приём автомобиля и записывает сигнал ключа. Владелец нажимает кнопку снова — устройство записывает второй код, а воспроизводит первый. Машина открывается, а у злоумышленника остаётся валидный код.

Атака RollBack (2022) ещё опаснее: если отправить автомобилю последовательность старых кодов, некоторые системы (Honda, Nissan) сбрасывают счётчик назад, делая старые коды снова валидными.

«Game Boy» за 25 000 евро

На чёрном рынке продаются устройства, внешне напоминающие игровую приставку Game Boy. Но это не игрушки — это программно-аппаратные комплексы стоимостью до 25 000 евро, способные вскрыть практически любой автомобиль с бесключевым доступом.

Принцип действия: устройство взаимодействует с дверной ручкой, пробуждая ЭБУ автомобиля. Затем оно эмулирует процесс обмена ключами, используя уязвимости криптографии или известные слабости алгоритмов вроде Hitag2 или DST40.

Исследователи из KU Leuven показали, что ключи Tesla Model S использовали шифр DST40 с 40-битным ключом. Они создали таблицу на 6 терабайт, позволяющую восстановить секретный ключ за пару секунд вычислений. Устройства типа «Game Boy» автоматизируют этот процесс — открыть и завести машину можно за минуту без оригинального ключа.

Взлом Jeep Cherokee: точка невозврата

2015 год стал переломным моментом в истории автомобильной кибербезопасности. Исследователи Чарли Миллер и Крис Валасек дистанционно взломали Jeep Cherokee, находясь за сотни километров от машины.

Они обнаружили, что автомобили с системой Uconnect имеют IP-адреса в сети оператора Sprint. Сканирование выявило открытый порт 6667, не требующий аутентификации. Через него исследователи получили доступ к головному устройству и загрузили модифицированную прошивку на вспомогательный чип, связанный с CAN-шиной.

Результат: они смогли удалённо выключить двигатель, отключить тормоза и перехватить рулевое управление — пока журналист WIRED сидел за рулём на шоссе. Видео эксперимента облетело мир. Fiat Chrysler отозвала 1,4 миллиона автомобилей для обновления ПО — первый в истории отзыв по причине кибербезопасности.

Tesla: гонка вооружений

Tesla всегда позиционировалась как технологический лидер. Но и её взламывали — неоднократно.

В 2016 году команда Tencent Keen Security Lab продемонстрировала полный дистанционный взлом Model S. Они заманили автомобиль на поддельную Wi-Fi точку с именем «Tesla Guest», эксплуатировали уязвимость в устаревшем браузере WebKit, проникли во внутреннюю сеть и отправили команды по CAN-шине — включая активацию тормозов на ходу.

Но Tesla показала, как должен реагировать производитель. Через 10 дней после отчёта компания выпустила обновление «по воздуху», закрывшее уязвимости. А главное — внедрила криптографическую подпись прошивок. Теперь даже при наличии уязвимости злоумышленник не может «перешить» модуль своим кодом — проверка подписи не даст этого сделать.

Этот случай стал образцом для индустрии. Но не все производители столь оперативны.

Облако под прицелом

Статистика 2024 года показывает тревожный тренд: 66% всех инцидентов связаны с телематическими серверами и серверами приложений. В 2023 году этот показатель составлял 43%. Атаки смещаются с самих автомобилей на облачную инфраструктуру.

В 2024 году группа исследователей под руководством Сэма Карри обнаружила уязвимости в веб-порталах сразу нескольких автопроизводителей: Kia, BMW, Ferrari, Toyota, Honda. Ошибка типа IDOR (Insecure Direct Object Reference) позволяла, зная VIN автомобиля, привязать его к аккаунту злоумышленника.

В случае с Kia это означало возможность удалённо отслеживать местоположение, отпирать двери и заводить двигатель чужого автомобиля. Проблема затронула все машины Kia после 2013 года.

Производители оперативно закрыли бреши. Но инцидент показал: даже идеально защищённый автомобиль может быть скомпрометирован через уязвимость во внешней ИТ-инфраструктуре.

Bluetooth и Wi-Fi: двери нараспашку

Bluetooth-стеки в автомобильных мультимедийных системах обновляются редко и содержат множество уязвимостей. Набор уязвимостей BlueBorne, обнаруженный несколько лет назад, позволяет захватить контроль над устройством без сопряжения и даже без перевода в режим обнаружения.

В 2025 году исследователи обнаружили новую цепочку уязвимостей PerfektBlue в стеке BlueSDK, который используется в автомобилях VW, Mercedes и других марок. Она позволяет выполнить код с правами root, просто находясь в соседнем ряду в пробке.

Wi-Fi не лучше. В ранних моделях Mitsubishi Outlander PHEV точка доступа автомобиля использовала слабый пароль, а протокол управления не имел должной защиты. Злоумышленник мог подключиться, отключить сигнализацию и разрядить батарею.

Электромобили: новый фронт

Экосистема электромобилей добавила новый класс уязвимых устройств — зарядные станции. Протокол OCPP для управления станциями часто реализуется без шифрования, что открывает возможности для атак «человек посередине».

На Pwn2Own 2025 исследователи Synacktiv взломали Tesla Wall Connector через линию Control Pilot в зарядном пистолете. Они обнаружили уязвимость переполнения буфера, получили root-доступ и извлекли пароли от домашней Wi-Fi сети владельца.

Теоретически возможна и более масштабная атака: ботнет из заражённых зарядных станций, способный дестабилизировать городскую электросеть синхронным включением-выключением потребления.

«Kia Boys» и USB-угон

Иногда самые эффективные методы — самые примитивные. В 2022–2023 годах в США стал вирусным тренд угона автомобилей Hyundai и Kia 2011–2021 годов выпуска. Видео с инструкциями распространялись через TikTok.

Проблема оказалась банальной: в этих машинах отсутствовал электронный иммобилайзер. Угонщик срывал пластиковый кожух руля, удалял личинку замка, а оставшийся металлический штифт поворачивал... USB-кабелем. Размер разъёма USB-A идеально подходил в качестве рычага.

Производителям пришлось выпускать программное обновление, которое вводит логическую блокировку: если машина закрыта с брелока, зажигание программно блокируется до получения сигнала открытия.

Масштаб угрозы

По данным Upstream Security, в 2024 году более 60% всех инцидентов затронули тысячи или даже миллионы устройств — автомобилей, зарядных станций, мобильных приложений. Массовые атаки, каждая из которых затрагивает миллионы машин, утроились: с 5% в 2023 году до 19% в 2024.

Было зафиксировано более 100 атак программ-вымогателей на автомобильную отрасль и более 200 утечек данных. Одна из самых разрушительных — атака на американского поставщика ПО для 15 000 автодилеров в июне 2024 года. Операции остановились почти на три недели, убытки оценили в 1,02 миллиарда долларов.

65% публично раскрытых инцидентов совершены «чёрными шляпами» с преступными намерениями. И они становятся всё изощрённее: 70% атак чёрных хакеров имели массовое воздействие, а 76% затронули нескольких участников экосистемы с глобальным охватом.

Как защищаются производители

После шоковой терапии 2015 года автопроизводители серьёзно взялись за кибербезопасность. Сегментация бортовых сетей стала стандартом — критические системы изолируются от внешних интерфейсов через центральный шлюз, который фильтрует трафик и блокирует неподходящие команды.

Появился стандарт SecOC для аутентификации сообщений в CAN. Цифровая подпись прошивок, впервые внедрённая Tesla, распространяется всё шире. OTA-обновления позволяют быстро закрывать уязвимости. Системы обнаружения вторжений (IDS) мониторят аномалии в трафике.

С 2022 года в ЕС, Японии и других странах действуют требования ООН R155 об обязательной сертификации кибербезопасности. Без неё производитель не получит одобрения на выпуск новых моделей.

Что делать владельцу

Защита автомобиля — ответственность не только производителя. Обновляйте ПО как можно скорее — новые прошивки часто содержат исправления критических уязвимостей. Защитите диагностический порт OBD-II от сомнительных устройств, можно установить механическую заглушку.

Храните брелок в экранирующем футляре или подальше от входной двери. Если у автомобиля есть мобильное приложение — включите двухфакторную аутентификацию и следите за активностью. Отключите неиспользуемые интерфейсы: Wi-Fi хотспот, автоподключение к неизвестным сетям.

Обращайте внимание на странности: неожиданные включения функций, резкое снижение заряда аккумулятора, незнакомые уведомления. При подозрениях — к дилеру.

Что дальше

Гонка вооружений продолжается. Автомобили становятся всё более подключёнными — 5G, V2X-коммуникации, автономное вождение. Злоумышленники осваивают ИИ для автоматизации поиска уязвимостей. Но и защита не стоит на месте: автомобильные IDS учатся распознавать аномалии, появляются центры мониторинга безопасности (vSOC), криптография проникает на уровень CAN.

Взломать автомобиль 2025 года значительно сложнее, чем машину десятилетней давности. Но полностью исключить риск невозможно. Будьте бдительны, обновляйте ПО и не игнорируйте странное поведение вашего автомобиля. В конце концов, это уже не просто машина — это компьютер, который везёт вас и вашу семью.