В июне 2024 года компания OpenSynergy обнаружила серьёзные проблемы в программном обеспечении BlueSDK, предназначенном для работы с Bluetooth. Эти проблемы позволяют злоумышленникам удалённо выполнять произвольный код и получать несанкционированный доступ к ключевым компонентам информационно-развлекательных систем транспортных средств различных производителей, включая Mercedes-Benz AG, Volkswagen и Skoda.
Эти уязвимости представляют серьёзную угрозу для безопасности данных и функциональности автомобилей.
Читайте также
В сентябре 2024 года OpenSynergy выпустила обновления для устранения обнаруженных уязвимостей. Однако, по информации СМИ, многие автопроизводители не включили эти исправления в свои программные продукты. Один из крупнейших автопроизводителей узнал о наличии уязвимостей только в октябре 2024 года.
Эксперты компании PCA Cyber Security, которая специализируется на исследованиях безопасности автомобильных систем, обнаружили эти уязвимости. С 2023 года PCA Cyber Security выявила более 50 уязвимостей в различных компонентах автомобильных систем.
Исследование уязвимостей PerfektBlue, которые затрагивают миллионы устройств в автомобильной промышленности и других отраслях, было проведено на основе анализа скомпилированного файла BlueSDK из-за отсутствия доступа к исходному коду.
Уязвимости были классифицированы по уровню критичности, что позволяет злоумышленникам несанкционированно получать доступ к внутренним системам автомобиля через информационно-развлекательные комплексы. Среди них:
CVE-2024-45434: Утечка памяти после её освобождения в сервисе AVRCP, который управляет медиапрофилями через Bluetooth. CVE-2024-45431: Некорректная валидация идентификатора канала (CID) в протоколе L2CAP. CVE-2024-45433: Ошибка при завершении операции в протоколе RFCOMM. CVE-2024-45432: Передача некорректных параметров при вызове функции в RFCOMM.
При наличии доступа к уязвимому устройству злоумышленники могут манипулировать системой, повышать привилегии и взаимодействовать с другими компонентами. Уязвимость PerfektBlue относится к категории атак типа «в один клик» (1-click RCE), поскольку злоумышленнику достаточно убедить пользователя принять запрос на сопряжение с его устройством. Некоторые автопроизводители допускают возможность подключения без подтверждения, что увеличивает риск эксплуатации уязвимостей.
PCA Cyber Security успешно провела эксплуатацию уязвимостей на головных устройствах автомобилей Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3). Исследователям также удалось установить обратную оболочку через протокол TCP/IP, используемый для межкомпонентной коммуникации в автомобиле.
При несанкционированном доступе через информационно-развлекательную систему злоумышленники могут отслеживать геопозиционирование автомобиля, перехватывать аудиоданные, получать контактную информацию владельца, а также взаимодействовать с критически важными подсистемами транспортного средства.
Программное обеспечение BlueSDK от OpenSynergy используется не только в автомобильной отрасли, но идентификация других пользователей данного ПО затруднена из-за кастомизации продуктов, ребрендинга и недостаточной прозрачности.
Компания OpenSynergy уведомила представителей Mercedes-Benz, Volkswagen и Skoda о выявленных уязвимостях и предоставила им время для развёртывания соответствующих обновлений. На момент публикации данной информации ответ от автопроизводителей не был получен.
Издание Bleeping Computer обратилось к представителям автопроизводителей для уточнения статуса внедрения предоставленных патчей. Представители Mercedes-Benz не предоставили ответа, в то время как в Volkswagen начали расследование после получения информации об уязвимостях.
«Расследование показало, что при определённых условиях информационно-развлекательная система автомобиля может быть подключена по Bluetooth без авторизации», — сообщили в Volkswagen.
Условия успешной эксплуатации уязвимости включают:
Атакующий находится в радиусе 5–7 метров от автомобиля. Включено зажигание транспортного средства. Информационно-развлекательная система находится в режиме сопряжения (пользователь вручную добавил устройство). Пользователь подтверждает подключение внешнего Bluetooth-устройства на экране системы.
Злоумышленник должен оставаться в непосредственной близости от автомобиля для сохранения доступа.
Volkswagen подчеркнул, что даже при успешной компрометации информационно-развлекательной системы злоумышленник не сможет повлиять на критически важные функции автомобиля, такие как рулевое управление, системы помощи водителю, работа двигателя и тормозной системы, управление которыми осуществляется через отдельный блок с собственными механизмами защиты.
Кроме того, исследователи сообщили о выявлении уязвимости, схожей с PerfektBlue, в продукции ещё одного автопроизводителя в октябре 2024 года. Название компании не было раскрыто, чтобы разработчики могли завершить подготовку и выпуск соответствующих обновлений.
Полное техническое описание уязвимостей PerfektBlue планируется к публикации в ноябре 2025 года, сообщает Хакер Online.