Исследователи кибербезопасности обнаружили четыре уязвимости в стеке Bluetooth BlueSDK, которые объединяются в одну цепочку PerfektBlue для атак удаленного выполнения кода (RCE). Для вас это означает, что злоумышленники смогут подключиться к мультимедийной системе автомобиля то подслушивать разговоры, воровать список контактов, отслеживать координаты GPS и многое другое. Стек BlueSDK используется несколькими поставщиками в различных отраслях, включая гигантов автомобилестроения Mercedes, Volkswagen и Skoda и, возможно, других.
Четыре уязвимости были обнаружены службой PCA Cyber Security и отслеживаются как CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 и CVE-2024-45432. их серьезность варьируется от низкой до высокой и находится в разных компонентах стека.
Вместе они получили название PerfektBlue. Злоумышленнику, желающему воспользоваться ими, достаточно одного нажатия от жертвы, чтобы согласиться на подключение устройства Bluetooth к автомобилю. В некоторых автомобилях даже это делается автоматически без участия жертвы.
PCA Cyber Security сообщила о своих выводах OpenSynergy, компании, поддерживающей стек Bluetooth BlueSDK, в июне 2024 года. Исправление было внесено в сентябре того же года. Однако затем исправление должно быть применено производителями автомобилей.
Только Volkswagen в настоящее время расследует этот вопрос и предоставил довольно длинный список предварительных условий, которые необходимо выполнить, прежде чем ошибка может быть использована, намекая, что риск не так уж велик:
— Зажигание автомобиля должно быть включено
— Информационно-развлекательная система должна быть в режиме сопряжения
— Пользователь транспортного средства должен активно одобрить внешний доступ злоумышленника по Bluetooth на экране.
Даже если эти условия возникнут и злоумышленник подключится к интерфейсу Bluetooth, он должен оставаться на максимальном расстоянии 5-7 метров от автомобиля, чтобы сохранить доступ, сказал представитель Volkswagen.
В Mercedes-Benz ответили, что в ноябре 2024 года команда внешних исследователей безопасности связалась с ними по поводу платформы Bluetooth Open Synergy BlueSDK. Автопроизводитель тщательно изучил представленные результаты и принял меры по снижению рисков. Open Synergy уже представила обновление библиотеки BlueSDK, которое также доступно через обновления по воздуху.
