Un gruppo di hacker etici europei, armati di ingegno, tastiere e qualche componente acquistato su eBay, è riuscito a prendere il controllo di una Nissan LEAF modello 2020 violando praticamente ogni standard di sicurezza e privacy immaginabile. Il video che riportiamo in questo articolo mostra esattamente l’accaduto.
Gli specialisti di Budapest di PCAutomotive hanno messo a punto un banco di prova artigianale con pezzi di ricambio comprati online e, sfruttando falle nel canale DNS C2 e nel protocollo Bluetooth della vettura, hanno ottenuto il controllo totale, praticamente trasformando la vettura in un veicolo telecomandato o quasi.
Infatti gli hacker non solo sono riusciti a localizzare Nissan Leaf in tempo reale, ma anche intercettare messaggi e conversazioni all’interno dell’abitacolo, fino riprodurre audio tramite gli altoparlanti e, dettaglio più inquietante, persino controllare lo sterzo mentre l’auto era in marcia.
Tutta la dimostrazione è documentata nel video che accompagna la presentazione di oltre 100 pagine tenuta a Black Hat Asia 2025, dove gli aspetti tecnici più avvincenti iniziano intorno alla pagina 27. Sebbene ogni vulnerabilità sia stata segnalata a Nissan e ai suoi fornitori tra agosto 2023 e settembre 2024, l’attacco mostra quanto sia sorprendentemente semplice compromettere un’auto moderna usando strumenti di uso comune e conoscenze informatiche.
C’è da sottolineare che l’hack non mostra soltanto un ipotetico attacco in cui è possibile telecomandare l’auto per scopi illeciti, ma rappresenta soprattutto una violazione massiccia della privacy. Ed infatti, l’hack ha permesso di ascoltare le conversazioni avvenute all’interno del veicolo, senza parlare del fatto che i dati GPS in tempo reale possano arrivare nelle mani di malintenzionati.
Se da un lato simili metodi potrebbero persino servire per interventi di emergenza a distanza in scenari estremi, dall’altro il pericolo reale è un monitoraggio costante e non autorizzato, ben più subdolo di un attacco fisico.
Qui di seguito l’elenco delle numerose falle individuate e sfruttate:
- La CVE-2025-32056 consente di aggirare il meccanismo antifurto.
- La CVE-2025-32057 riguarda un attacco “man-in-the-middle” attraverso il componente app_redbend.
- La CVE-2025-32058 sfrutta un overflow di stack nel processo CBR della core-board v850.
- La CVE-2025-32059 e le successive CVE-2025-32061 e CVE-2025-32062 descrivono tre diversi casi di buffer overflow nello stack che portano a esecuzione remota di codice (RCE).
- La CVE-2025-32060 evidenzia l’assenza di un controllo di firma per i moduli del kernel.
- Il problema PCA_NISSAN_009 riguarda un filtraggio inadeguato del traffico tra i diversi bus CAN.
- La CVE-2025-32063 introduce una persistenza della connessione sulla rete Wi-Fi.
- Infine, il vettore PCA_NISSAN_012 sfrutta la precedente CVE-2017-7932 presente nell’HAB del processore i.MX 6 per mantenere l’accesso.
Insomma, l’esperimento condotto su Nissan LEAF dagli hacker di PCAutomotive mette in luce un monito chiaro per case automobilistiche e proprietari: la sicurezza digitale di ogni veicolo con componenti elettronici avanzati va considerata come elemento di primaria importanza.
Le notizie che trattano di auto, veicoli elettrici, mobilità smart ed eco sostenibile sono disponibili nella sezione ViaggiareSmart di macitynet.
