Дослідники з компанії PCA Cyber Security виявили серйозні вразливості в Bluetooth-стеку BlueSDK від OpenSynergy, які створюють безпрецедентну загрозу для мільйонів автомобілів провідних світових брендів. Ці критичні недоліки безпеки, об’єднані під назвою PerfektBlue, дозволяють зловмисникам віддалено контролювати автомобільні системи через простий Bluetooth-зв’язок.
Механізм атаки та технічні особливості
Уразливості PerfektBlue реалізуються через атаку типу “1-click RCE” (Remote Code Execution), що означає можливість віддаленого виконання довільного коду з мінімальною участю користувача. Для успішної атаки достатньо лише переконати водія прийняти запит на з’єднання з пристроєм зловмисника через Bluetooth. Особливо небезпечним є той факт, що деякі виробники налаштовують свої системи для автоматичного з’єднання без підтвердження користувача.
Експерти PCA Cyber Security, які мають значний досвід участі в змаганнях Pwn2Own Automotive та виявили понад 50 уразливостей в автомобільних системах протягом останнього року, провели аналіз скомпільованого бінарного коду BlueSDK без доступу до вихідного коду. Це підкреслює складність та професійність проведеного дослідження.
Підтверджені випадки компрометації
Дослідники успішно продемонстрували роботу уразливостей на реальних автомобільних системах. Атаки були перевірені на Volkswagen ID.4 з системою ICAS3, Mercedes-Benz з системою NTG6, та Skoda Superb з системою MIB3. У всіх випадках вдалося отримати реверс-шелл через TCP/IP протокол, що відкриває широкі можливості для подальшого проникнення в автомобільну мережу.
Потенційні наслідки для безпеки користувачів
Після успішного виконання коду в контексті інформаційно-розважальної системи автомобіля, зловмисник отримує доступ до широкого спектру функцій та даних. Серед можливих дій: відстеження GPS-координат автомобіля, прослуховування розмов у салоні, отримання доступу до контактів у підключеному телефоні власника, а також потенційне бічне переміщення до інших критично важливих підсистем автомобіля.
Реакція виробників та стан оновлень
Компанія OpenSynergy підтвердила наявність уразливостей ще в червні 2024 року та випустила відповідні патчі у вересні. Однак процес впровадження цих виправлень у прошивки автомобілів виявився затяжним. За даними джерел, багато автовиробників досі не інтегрували оновлення у свої системи, а деякі великі OEM-виробники дізналися про загрозу лише нещодавно.
Відповідь Volkswagen та мовчання конкурентів
Представники Volkswagen підтвердили початок розслідування одразу після отримання інформації про уразливості. У компанії зазначають, що атака можлива лише при дотриманні певних умов, а зловмисник має перебувати в радіусі 5-7 метрів від автомобіля для підтримання доступу. Volkswagen також підкреслює, що критично важливі функції автомобіля керуються окремим блоком з власними механізмами захисту.
Водночас дослідники не отримали відповіді від представників Mercedes-Benz та Skoda, що викликає занепокоєння щодо готовності цих компаній до оперативного реагування на загрози кібербезпеки.
Масштаб поширення та майбутні кроки
BlueSDK від OpenSynergy застосовується не лише в автомобільній індустрії, але точне визначення всіх уражених продуктів ускладнюється через кастомізацію, ребрендинг та відсутність прозорості в ланцюзі поставок програмного забезпечення. Це обставина значно ускладнює оцінку реального масштабу загрози та координацію зусиль з усунення уразливостей.
Дослідники планують розкрити повний технічний опис уразливостей PerfektBlue у листопаді 2025 року, що дасть розробникам та фахівцям з безпеки достатньо часу для підготовки та впровадження захисних заходів. Цей інцидент підкреслює критичну важливість своєчасного оновлення програмного забезпечення автомобільних систем та необхідність тіснішої співпраці між дослідниками безпеки та автовиробниками для забезпечення захисту кінцевих користувачів.
