Безопасность Bluetooth-устройств снова оказалась под угрозой. Исследователи обнаружили серию критических уязвимостей, получивших общее название PerfektBlue, которые затрагивают миллионы автомобилей и других устройств, использующих Bluetooth-стек OpenSynergy BlueSDK. Эти уязвимости позволяют злоумышленникам выполнять удаленный код (RCE) с минимальным взаимодействием с пользователем - достаточно лишь установить сопряжение устройств.
PerfektBlue объединяет четыре различные уязвимости в Bluetooth-стеке OpenSynergy BlueSDK, который широко используется в автомобильной промышленности. Среди них особенно опасна CVE-2024-45434 - уязвимость типа use-after-free в сервисе AVRCP, оцененная в 8.0 баллов по шкале CVSS. Она позволяет вызвать повреждение памяти и выполнить произвольный код. Другие уязвимости, такие как CVE-2024-45431 (неправильная проверка CID в L2CAP), CVE-2024-45433 (некорректное завершение функции в RFCOMM) и CVE-2024-45432 (ошибка в параметре вызова функции RFCOMM), хотя и менее критичны, могут быть объединены для создания цепочки атак.
Под угрозой оказались автомобили ведущих производителей, включая Mercedes-Benz AG, Volkswagen и Skoda, но проблема не ограничивается только автомобилями - уязвимости также затрагивают мобильные телефоны и портативные устройства. Опасность заключается в том, что для успешной атаки достаточно одного клика пользователя, что делает эксплойт особенно опасным для мультимедийных систем (IVI).
В случае успешной эксплуатации злоумышленники могут получить доступ к GPS-координатам, прослушивать разговоры внутри автомобиля, извлекать контакты из телефонной книги и даже атаковать другие электронные блоки управления (ECU) в сети автомобиля. Это открывает путь к полному контролю над транспортным средством, что может иметь катастрофические последствия для безопасности водителей и пассажиров.
Уязвимости были выявлены командой PCA Security Assessment Team, которая проанализировала скомпилированные Bluetooth-исполняемые файлы на тестовых устройствах (доступ к исходному коду отсутствовал). Исследователи подтвердили возможность эксплуатации, разработав Proof-of-Concept-эксплойты для трех различных мультимедийных систем: Volkswagen MEB ICAS3 (используется в моделях ID), Mercedes-Benz NTG6 и Skoda MIB3 (устанавливается в линейке Superb).
OpenSynergy была уведомлена о проблеме еще в мае 2024 года, и к сентябрю компания выпустила исправления. Однако из-за сложности цепочки поставок в автомобильной промышленности обновления до сих пор не получили все производители. Некоторые автопроизводители сообщили, что вообще не получали уведомлений об уязвимостях от своих поставщиков, несмотря на доступность патчей.
Эксперты рекомендуют пользователям как можно скорее обновлять свои системы, как только исправления станут доступны. В качестве временной меры защиты можно полностью отключить Bluetooth, хотя это может ограничить функциональность устройств. Владельцам автомобилей следует обратиться к официальным дилерам или производителям для получения информации о доступных обновлениях безопасности.
