Специалисты по кибербезопасности выявили уязвимости, затрагивающие электрические мотоциклы Zero Motorcycles и электроскутеры Yadea, которые в определённых условиях могут привести не только к утечке доступа, но и к реальному риску для безопасности водителя.
Об уязвимостях сообщили в нескольких консультационных бюллетенях CISA. В одном случае речь идёт о проблеме в мотоциклах Zero Motorcycles (CVE-2026-1354), затрагивающей версии прошивки 44 и ниже.
Исследователи из Bureau Veritas Cybersecurity установили, что злоумышленник в пределах Bluetooth-дальности может подключиться к мотоциклу во время режима сопряжения и получить доступ ко всем функциям беспроводного интерфейса. В худшем сценарии это открывает возможность загрузки модифицированной прошивки.
После захвата канала обновления атакующий потенциально может вмешаться в работу ключевых систем: управление крутящим моментом, рекуперативное торможение, подача питания и управление батареей. Также упоминается возможность воздействия на телеметрию и GPS-модуль, что теоретически расширяет сценарии атаки за пределы локального доступа.
Отдельная уязвимость обнаружена в электроскутере Yadea T5 (CVE-2025-70994). Она связана с недостаточной защитой аутентификации ключа. В этом случае атакующий в непосредственной близости может перехватить сигнал ключа и с помощью анализа команд сгенерировать новые — включая разблокировку и запуск двигателя.
Фактически это создаёт сценарий перехвата управления транспортом без физического доступа к ключу владельца, используя повтор и синтез команд.
По данным исследователей, для Zero Motorcycles ожидается выпуск исправления прошивки в мае, однако уязвимость Yadea на момент публикации остаётся без официального патча.
Обе проблемы подчёркивают растущую поверхность атак в сегменте электротранспорта, где беспроводные интерфейсы и обновления прошивки становятся критической частью системы управления.