Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy. Проблемы позволяют удаленно выполнить произвольный код и могут помочь получить доступ к критически важным компонентам в автомобилях таких производителей, как Mercedes-Benz AG, Volkswagen и Skoda.
Разработчики OpenSynergy подтвердили наличие проблем еще в июне 2024 года, после чего в сентябре выпустила патчи. Однако многие автопроизводители до сих пор не внедрили эти обновления в свои прошивки, и по данным СМИ, как минимум один крупный OEM-производитель узнал об уязвимостях лишь недавно.
Уязвимости обнаружили специалисты компании PCA Cyber Security, специализирующейся на автомобильной безопасности. Отметим, что они являются постоянными участниками соревнований Pwn2Own Automotive и с прошлого года обнаружили более 50 багов в различных автомобильных системах.
По словам исследователей, проблемы PerfektBlue затрагивают «миллионы устройств в автоиндустрии и за ее пределами». При этом эксперты изучали скомпилированный бинарник BlueSDK, так как исходного кода у них попросту не было.
Уязвимости варьируются по степени опасности и могут открыть доступ к внутренним компонентам разных авто через информационно-развлекательную систему.
- CVE-2024-45434 — use-after-free в сервисе AVRCP, отвечающем за управление медиапрофилями через Bluetooth;
- CVE-2024-45431 — некорректная проверка идентификатора канала CID в L2CAP (Logical Link Control and Adaptation Protocol);
- CVE-2024-45433 — ошибка при завершении функции в протоколе RFCOMM (Radio Frequency Communication);
- CVE-2024-45432 — передача неверного параметра при вызове функции RFCOMM.
Пока исследователи не раскрывают всех технических деталей, но пишут, что атакующий, подключенный к уязвимому устройству, имеет возможность манипулировать системой, повышать привилегии и двигаться дальше — к другим компонентам.
При этом PerfektBlue представляет собой атаку «в один клик» (1-click RCE), потому что злоумышленнику потребуется лишь убедить пользователя принять запрос на сопряжение со своим устройством. Причем некоторые автопроизводители настраивают свои системы таким образом, что сопряжение возможно даже без подтверждения.
PCA Cyber Security продемонстрировали, что PerfektBlue работает против головных устройств в Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3). Также им удалось получить реверс-шелл поверх TCP/IP — протокола, через который общаются компоненты автомобиля.
Подчеркивается, что после удаленного выполнения кода в контексте информационно-развлекательной системы автомобиля, злоумышленник может отслеживать координаты GPS, подслушивать разговоры в автомобиле, получить доступ к контактам в телефоне владельца, а также осуществить боковое перемещение и добраться до критически важных подсистем авто.
BlueSDK компании OpenSynergy широко применяется не только в автоиндустрии, однако точно определить, кто еще применяет его в своих продуктах сложно (из-за кастомизации, ребрендингов и отсутствия прозрачности в этих вопросах).
Исследователи уведомили о найденных проблемах представителей Volkswagen, Mercedes-Benz и Skoda и предоставили им достаточно времени для развертывания исправлений. Однако ответа от автопроизводителей эксперты так и не получили.
Издание Bleeping Computer связалось с автопроизводителями, чтобы узнать, внедрили ли они патчи, выпущенные OpenSynergy.
Представители Mercedes-Benz не ответили на запрос журналистов, а в Volkswagen сообщили, что начали расследование сразу после получения информации об уязвимостях.
«Расследование показало, что при определенных условиях к информационно-развлекательной системе автомобиля можно подключиться по Bluetooth без авторизации», — говорят в Volkswagen.
Но в компании подчеркнули, что эксплоит сработает лишь при соблюдении ряда условий:
- атакующий находится в радиусе 5–7 метров от машины;
- зажигание авто включено;
- информационно-развлекательная система находится в режиме сопряжения (пользователь вручную инициировал добавление устройства);
- пользователь сам подтверждает подключение внешнего Bluetooth-устройства на экране.
И даже если эти условия будут соблюдены, во время атаки злоумышленник должен оставаться в радиусе 5–7 метров от автомобиля, чтобы сохранить доступ.
В компании отдельно отметили, что даже в случае успешной компрометации хакер не сможет повлиять на критически важные функции автомобиля, включая рулевое управление, ассистенты водителя, работу двигателя и тормозной системы (они управляются отдельным блоком с собственными механизмами защиты).
Исследователи отмечают, что в прошлом месяце они обнаружили уязвимость перед PerfektBlue в OEM-продукции еще одного производителя, которого ранее не уведомляла OpenSynergy. Название этой компании не раскрывается, чтобы разработчики могли подготовить патчи.
Полное техническое описание проблем PerfektBlue планируется раскрыть в ноябре 2025 года.
