Китайские автомобили прочно ассоциируются с высокими технологиями — огромные экраны, голосовое управление, приложения-ключи. Их называют «смартфонами на колесах». Но с появлением таких машин в России все чаще звучат вопросы: а насколько безопасна их электроника? Реальна ли угроза взлома через приложение, или это страшилки? Разберемся.
Как взламывают через приложение и облако
Самый обсуждаемый сценарий — потеря контроля над автомобилем через мобильное приложение.
В России уже зафиксированы случаи, когда владельцы китайских электромобилей (в частности, Li Auto) сталкивались с шантажом после взлома так называемого мастер-аккаунта. Это цифровой ключ, который дает полный доступ к машине: можно открывать двери, запускать двигатель, управлять климатом и даже отслеживать геолокацию.
Угроза особенно касается автомобилей, ввезенных по «серым» схемам. Их аккаунты часто регистрируются на китайские номера (+86), к которым у реального владельца нет доступа. Если номер перестает действовать или попадает к мошенникам, машина может быть заблокирована удаленно, а за восстановление контроля потребуют выкуп — суммы доходят до 250 тысяч рублей.
Эксперты подчеркивают, что проблема не в вирусах, а в слабых процессах регистрации и управлении учетными записями. Кто владеет мастер-аккаунтом, тот владеет машиной.
Уязвимости «на месте»: CAN-шина и ключи
Но угрозы не ограничиваются удаленным доступом. Даже стоящую на парковке машину можно взломать «физически» — через электронику.
Главное слабое место многих китайских моделей — низкая криптостойкость. Это значит, что системы шифрования сигналов между ключом и автомобилем защищены недостаточно.
Злоумышленники могут:
1. Перехватить и ретранслировать сигнал ключа (атака «удлинитель»), чтобы открыть и завести машину, даже не имея ключа в руках.
2. Подключиться к CAN-шине (цифровая «нервная система» авто) через диагностический разъем OBD-II. Специальные программаторы (которые стоят от 100 000 рублей — для европейских машин цена начинается от миллиона) позволяют быстро прописать в память автомобиля «свой» ключ. Для многих китайских моделей для этого не требуется даже соединения с серверами производителя.
«Брешь» в мультимедиа: кража данных
Угроза может исходить даже от приложений, установленных в автомобиле. Исследователи обнаружили уязвимость в системе DiLink (BYD), которая позволяет обычному приложению получить доступ к системным логам автомобиля.
Через этот «канал» можно украсть конфиденциальные данные: VIN-код, расход топлива, данные геолокации и даже диагностические команды. Более того, уязвимость позволяла перенаправить CAN-трафик (поток данных о работе всех систем) на сервер злоумышленника, что открывает путь к анализу и управлению машиной. Производитель уже подтвердил и исправил эту проблему в новых версиях ПО, но сам факт наличия такой «дыры» показателен.
Это «смартфон» или машина?
Автомобиль с такой электроникой действительно напоминает смартфон. И как у любого сложного гаджета, у него есть уязвимости. Вопрос лишь в том, насколько они критичны и как быстро производители реагируют на угрозы.
Пока есть реальные примеры, когда потеря доступа к приложению лишала владельца управления машиной, а взлом CAN-шины делал угон дешевым и быстрым. С другой стороны, производители уже работают над исправлением выявленных проблем.
Что делать владельцам?
· Если автомобиль ввезен по параллельному импорту — убедитесь, что мастер-аккаунт зарегистрирован на ваш номер и вы имеете к нему полный доступ.
· Используйте дополнительные противоугонные средства (механические блокираторы, GPS-трекеры).
· Следите за обновлениями ПО от производителя.
Спасибо за внимание дорогие подписчики и гости канала, если было интересно, подписачка и лайк😊 всем добра.