Уязвимости Bluetooth угрожают тысячам немецких авто

Исследователи безопасности выявили четыре опасные уязвимости в стеке BlueSDK Bluetooth. Эта программная основа используется в разных отраслях, в том числе крупнейшими автопроизводителями — Mercedes, Volkswagen и Skoda. Теоретически, злоумышленник может соединиться с мультимедийной системой автомобиля, чтобы прослушивать разговоры, получать доступ к контактам и отслеживать координаты GPS. К счастью, реализовать такую атаку не просто — но давайте по порядку.

Ошибки обнаружила компания PCA Cyber Security, им присвоены коды CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 и CVE-2024-45432. Степень их опасности — от низкой до высокой, они затрагивают разные компоненты стека. Все четыре дыры получили неофициальное название "PerfektBlue". Для атаки хакеру зачастую нужен всего лишь клик владельца машины — согласие на сопряжение Bluetooth-устройства с автомобилем. Впрочем, у ряда моделей этот процесс идет автоматически, и пользователь ничего не подтверждает.

PCA Cyber Security сообщила о своих находках компании OpenSynergy, которая поддерживает BlueSDK, в июне 2024 года. Исправление было выпущено в сентябре этого же года. Однако прошивку должны применить автопроизводители — и, судя по всему, пока этого никто не сделал.

Из всех автогигантов только Volkswagen официально начал изучать проблему. Компания опубликовала список условий, при которых возможно использование бага:

• Хакер должен находиться в 5–7 метрах от машины и оставаться в этом радиусе во время атаки.
• Зажигание у машины должно быть включено.
• Система мультимедиа должна быть в режиме сопряжения.
• Водитель должен дать разрешение на внешний доступ к Bluetooth прямо на экране.

Volkswagen этим намекает: мол, шанс подвергнуться такой атаке минимален. Но забывать о рисках не стоит: исправления еще не установлены, и насколько автопроизводители вообще планируют устранять брешь — пока неизвестно.