Дослідники кібербезпеки виявили чотири уразливості в Bluetooth стеку BlueSDK, які об’єднуються в один ланцюжок PerfektBlue для атак віддаленого виконання коду (RCE). Для вас це означає, що зловмисники зможуть підключитися до мультимедійної системи автомобіля то підслуховувати розмови, красти список контактів, відстежувати координати GPS і багато іншого. Стек BlueSDK використовується декількома постачальниками в різних галузях, включаючи гігантів автомобілебудування Mercedes, Volkswagen і Skoda і, можливо, інших.
Чотири уразливості були виявлені службою PCA Cyber Security і відслідковуються як CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 і CVE-2024-45432. Їх серйозність варіюється від низької до високої і знаходиться в різних компонентах стека.
Разом вони отримали назву PerfektBlue. Зловмиснику, який бажає скористатися ними, достатньо одного клацання від жертви – щоб погодитися на підключення пристрою Bluetooth до автомобіля. У деяких автомобілях навіть це робиться автоматично без участі жертви.
PCA Cyber Security повідомила про своїх висновки OpenSynergy, компанії, що підтримує стек Bluetooth BlueSDK, в червні 2024 року. Виправлення було впроваджено у вересні того ж року. Однак потім виправлення повинно бути застосоване виробниками автомобілів.
Тільки Volkswagen в даний час розслідує це питання і надав досить довгий список попередніх умов, які необхідно виконати, перш ніж помилка може бути використана, натякаючи, що ризик не такий вже й великий:
– Запалювання автомобіля повинно бути включено
– Інформаційно-розважальна система повинна бути в режимі сполучення
– Користувач транспортного засобу повинен активно схвалити зовнішній доступ зловмисника по Bluetooth на екрані.
Навіть якщо ці умови виникнуть і зловмисник підключиться до інтерфейсу Bluetooth, він повинен залишатися на максимальній відстані 5-7 метрів від автомобіля, щоб зберегти доступ, сказав представник Volkswagen.
У Mercedes-Benz відповіли, що у листопаді 2024 року команда зовнішніх дослідників безпеки зв’язалася з ними з приводу платформи Bluetooth Open Synergy BlueSDK. Автовиробник ретельно вивчив представлені результати і прийняв заходи щодо зниження ризиків. Open Synergy вже представила оновлення бібліотеки BlueSDK, яке також доступний через оновлення по повітрю.
