Четири сериозни уязвимости, обединени под наименованието PerfektBlue, бяха открити в Bluetooth стека BlueSDK на OpenSynergy, който се използва в информационно-развлекателните системи на множество автомобилни производители, включително Mercedes-Benz, Volkswagen и Škoda.

Макар OpenSynergy да е потвърдила уязвимостите още през юни 2024 г. и да е пуснала пачове през септември същата година, много автомобилни производители все още не са приложили необходимите актуализации на фърмуера. Един от големите производители е научил за проблема едва наскоро.

Какво представлява PerfektBlue?

Изследователите от PCA Cyber Security – фирма, специализирана в автомобилната киберсигурност – са открили уязвимостите чрез реверсивен инженеринг на бинарен файл на BlueSDK (без достъп до сорс кода). Уязвимостите могат да бъдат свързани в една атака, която да се изпълни по въздуха и да доведе до отдалечено изпълнение на код (RCE) при минимално потребителско взаимодействие – най-много едно натискане за сдвояване.

PerfektBlue засяга „милиони устройства в автомобилния и други индустриални сектори“, подчертават експертите.

Уязвимостите в BlueSDK:

1. CVE-2024-45434 (висока критичност): Use-after-free уязвимост в AVRCP Bluetooth профила, позволяваща дистанционен контрол над мултимедийни устройства.

2. CVE-2024-45431 (ниска критичност): Невалидиран идентификатор в L2CAP канала.

3. CVE-2024-45432 (средна критичност): Неправилно подаване на параметри в RFCOMM протокола.

4. CVE-2024-45433 (средна критичност): Грешка при прекратяване на функция в RFCOMM протокола.

Изследователите демонстрират успешни PerfektBlue атаки върху:

• Volkswagen ID.4 (ICAS3)

• Mercedes-Benz NTG6

• Škoda Superb (MIB3)

Във всички случаи те са постигнали обратен shell достъп върху TCP/IP стека на автомобила. Това им позволява да:

• проследяват GPS координати;

• достъпват телефонни контакти;

• подслушват разговори в автомобила;

• извършват странично движение към други системи.

Ограничения на атаката

Според Volkswagen, атаката може да бъде успешна само при едновременно изпълнение на следните условия:

• Нападателят е в радиус до 5–7 метра от автомобила;

• Запалено е запалването на автомобила;

• Инфотейнмънт системата е в режим на сдвояване;

• Потребителят ръчно одобрява Bluetooth връзката.

Компанията подчертава, че дори при успешен достъп, критични системи като управление, спирачки и двигател остават недостъпни, тъй като се управляват от самостоятелни защитени контролни модули.

Реакция и липса на комуникация

PCA Cyber Security са информирали Volkswagen, Mercedes-Benz и Škoda, но не са получили официален отговор дали уязвимостите са отстранени. Според тях, наскоро е идентифициран и четвърти производител, също засегнат от PerfektBlue, който не е бил уведомен от OpenSynergy. Подробностите за него ще бъдат разкрити през ноември 2025 г. на конференция, заедно с техническите детайли на атаката.