Специалисты по автомобильной кибербезопасности из компании PCA Cyber Security обнаружили четыре критические уязвимости в Bluetooth-стеке BlueSDK от OpenSynergy. Эти проблемы безопасности, получившие общее название PerfektBlue, затрагивают миллионы устройств в автомобильной индустрии и создают серьезную угрозу для владельцев автомобилей таких известных марок, как Mercedes-Benz, Volkswagen и Skoda.
Характеристики и масштаб угрозы PerfektBlue
Уязвимости PerfektBlue представляют собой атаку типа «1-click RCE» (Remote Code Execution), что означает возможность удаленного выполнения произвольного кода с минимальным участием пользователя. Злоумышленнику достаточно лишь убедить водителя принять запрос на сопряжение с его устройством через Bluetooth. Особую опасность представляет тот факт, что некоторые автопроизводители настраивают свои системы таким образом, что сопряжение может происходить даже без подтверждения пользователя.
Исследователи из PCA Cyber Security, известные своим участием в соревнованиях Pwn2Own Automotive и обнаружением более 50 уязвимостей в автомобильных системах за последний год, проводили анализ скомпилированного бинарного кода BlueSDK без доступа к исходному коду. Это обстоятельство подчеркивает серьезность их достижений в области реверс-инжиниринга.
Подтвержденные случаи успешных атак
Экспертам удалось успешно продемонстрировать работу уязвимостей PerfektBlue на реальных автомобильных системах. В частности, атаки были проверены на:
Volkswagen ID.4 с системой ICAS3, Mercedes-Benz с системой NTG6, и Skoda Superb с системой MIB3. Во всех случаях исследователи смогли получить реверс-шелл через TCP/IP протокол, что открывает широкие возможности для дальнейшего проникновения в автомобильную сеть.
Потенциальные последствия компрометации
После успешного выполнения кода в контексте информационно-развлекательной системы автомобиля, злоумышленник получает доступ к широкому спектру функций и данных. Среди возможных действий:
Отслеживание GPS-координат автомобиля, прослушивание разговоров в салоне, получение доступа к контактам в подключенном телефоне владельца, а также потенциальное боковое перемещение к другим критически важным подсистемам автомобиля. Такой уровень компрометации создает серьезные риски для конфиденциальности и безопасности владельцев транспортных средств.
Реакция разработчиков и автопроизводителей
Компания OpenSynergy подтвердила наличие уязвимостей еще в июне 2024 года и выпустила соответствующие патчи в сентябре. Однако процесс внедрения этих исправлений в прошивки автомобилей оказался затяжным. По данным источников, многие автопроизводители до сих пор не интегрировали обновления в свои системы, а некоторые крупные OEM-производители узнали об угрозе лишь недавно.
Представители Volkswagen подтвердили начало расследования сразу после получения информации об уязвимостях. В компании отмечают, что атака возможна только при соблюдении определенных условий, а злоумышленник должен находиться в радиусе 5-7 метров от автомобиля для поддержания доступа. Volkswagen также подчеркивает, что критически важные функции автомобиля — рулевое управление, ассистенты водителя, двигатель и тормозная система — управляются отдельным блоком с собственными механизмами защиты.
Отсутствие ответа от других производителей
Несмотря на предоставление достаточного времени для реагирования, исследователи не получили ответа от представителей Mercedes-Benz и Skoda. Такое отсутствие коммуникации вызывает обеспокоенность относительно готовности этих компаний к оперативному реагированию на угрозы кибербезопасности.
Широкое распространение уязвимого компонента
BlueSDK от OpenSynergy применяется не только в автомобильной индустрии, но точное определение всех затронутых продуктов затруднено из-за кастомизации, ребрендинга и отсутствия прозрачности в цепочке поставок программного обеспечения. Это обстоятельство значительно усложняет оценку реального масштаба угрозы и координацию усилий по устранению уязвимостей.
Исследователи планируют раскрыть полное техническое описание уязвимостей PerfektBlue в ноябре 2025 года, что даст разработчикам и специалистам по безопасности достаточно времени для подготовки и внедрения защитных мер. Данный инцидент подчеркивает критическую важность своевременного обновления программного обеспечения автомобильных систем и необходимость более тесного сотрудничества между исследователями безопасности и автопроизводителями для обеспечения защиты конечных пользователей.
