Эксперты в области информационной безопасности обнаружили критические уязвимости в электромотоциклах Zero Motorcycles и электроскутерах Yadea. Дефекты защиты не только ставят под удар конфиденциальность данных, но и создают прямую опасность для владельцев транспорта.
Подробности рисков были обнародованы в официальных отчетах CISA. В частности, для моделей Zero Motorcycles (идентификатор CVE-2026-1354, версии прошивки 44 и ниже) выявлена серьезная брешь.
Специалисты Bureau Veritas Cybersecurity выяснили, что злоумышленник, находящийся в радиусе действия Bluetooth-сигнала, может инициировать сопряжение с мотоциклом и перехватить контроль над беспроводным модулем. В наиболее опасном сценарии это позволяет внедрить в систему модифицированное вредоносное ПО.
Взлом канала обновлений дает преступнику возможность влиять на жизненно важные узлы байка: от настроек крутящего момента и рекуперативного торможения до управления питанием и состоянием АКБ. Кроме того, манипуляции с телеметрией и GPS-данными могут позволить отслеживать или ограничивать перемещение транспорта.
Параллельно была выявлена уязвимость в электроскутере Yadea T5 (CVE-2025-70994), связанная с некорректным механизмом аутентификации электронного ключа. Злоумышленник может перехватить радиосигнал ключа, проанализировать структуру команд и сгенерировать дубликаты, что позволяет беспрепятственно разблокировать устройство и запустить двигатель.
Фактически, это означает, что угон скутера становится возможен без физического обладания оригинальным ключом, за счет ретрансляции и имитации команд управления.
Согласно полученным данным, компания Zero Motorcycles намерена выпустить обновление прошивки в мае текущего года, однако на текущий момент уязвимость в системах Yadea остается неустраненной.
Данные инциденты наглядно иллюстрируют расширение векторов кибератак в индустрии электротранспорта, где интеграция беспроводных протоколов и систем удаленного обновления требует принципиально иного уровня защиты.
Источник: iXBT
