Dinesh Shetty, Director of Security Engineering bei Bureau Veritas, erläuterte gegenüber SecurityWeek, dass ein Angriff zwar nicht einfach durchzuführen sei, ein motivierter und gut ausgestatteter Angreifer ihn aber bewältigen könne. Der Angreifer müsse sich physisch in der Nähe des Motorrads befinden, den Kopplungsablauf verstehen und so lange in Reichweite bleiben, bis das Aufspielen der Schadsoftware abgeschlossen sei.

Nach Shettys Darstellung verfügen Zero-Motorräder über einen Bluetooth-Kopplungsmodus, der sich aktiviert, wenn man die Mode-Taste etwa fünf Sekunden gedrückt hält oder wenn das Fahrzeug zuvor noch nie gekoppelt wurde. In diesem Zeitfenster prüfe der Schlüsselaustausch nicht, wer sich tatsächlich verbindet. Ein Angreifer in Bluetooth-Reichweite könne so sein eigenes Gerät koppeln, das vom Motorrad als legitime Verbindung akzeptiert werde. Anschließend gelte das Gerät als vertrauenswürdig und könne über den Firmware-Update-Kanal ein verändertes Firmware-Abbild aufspielen.

Die Tragweite begründet Shetty mit den Funktionen des zentralen Mikrocontrollers: Dieser steuere sicherheitskritische Bereiche wie Drehmomentabgabe, Rekuperationsbremsung, die Schütze für die Stromzufuhr zum Motor und das Batteriemanagement. Wer eigene Firmware aufspiele, könne in all diese Bereiche eingreifen – etwa das Ansprechverhalten des Gasgriffs verändern, das Bremsverhalten beeinflussen oder die thermischen Schutzmechanismen der Batterie manipulieren, mit entsprechenden Folgen bei Autobahngeschwindigkeit. Zudem habe die Platine Zugriff auf ein Mobilfunkmodem für GPS und Telemetrie, das sich theoretisch für eine Fernsteuerung zweckentfremden lasse. Es gehe nicht darum, die Farbe des Armaturenbretts zu ändern, sondern um Firmware, die das physische Verhalten des Fahrzeugs bestimmt.

Laut CISA plant der Hersteller, im Mai einen Firmware-Patch bereitzustellen. Bis dahin rät die Behörde, das Motorrad an einem sicheren Ort mit dem Telefon zu koppeln, an dem niemand sonst gleichzeitig eine Kopplung versuchen kann. Zero Motorcycles reagierte nicht auf eine Anfrage von SecurityWeek.

In einem getrennten Hinweis behandelt CISA eine Schwachstelle im T5-Roller von Yadea. Die als CVE-2025-70994 geführte und als „hoch" eingestufte Lücke beruht auf schwacher Authentifizierung und erlaubt es, legitime Funksignale des Schlüsselanhängers abzufangen. Nach Angaben des Entdeckers Ashen Chathuranga kann ein Angreifer in der Nähe des Rollers einen unkritischen Befehl – etwa einen Sperrbefehl – des Besitzers abfangen.

Aus den Daten dieses Befehls lasse sich ein anderer Befehl „mathematisch synthetisieren", darunter Entsperr- und Startbefehle, womit sich der Roller stehlen lasse. Chathuranga erklärte gegenüber SecurityWeek, ein Angreifer könne unmittelbar nach dem Mitschneiden eines Befehls einen neuen Befehl absetzen und einen Replay-Angriff durchführen. Laut CISA und dem Forscher hat Yadea bislang keinen Patch veröffentlicht; auch dieser Hersteller äußerte sich nicht auf eine Anfrage von SecurityWeek.