Уязвимости PerfektBlue Bluetooth затрагивают автомобили Mercedes, Volkswagen и Skoda
Четыре уязвимости, получившие название PerfektBlue и затрагивающие стек Bluetooth BlueSDK от OpenSynergy, могут быть использованы для удаленного выполнения кода и потенциального доступа к критически важным элементам в транспортных средствах различных производителей, включая Mercedes-Benz AG, Volkswagen и Skoda.
Компания OpenSynergy подтвердила наличие уязвимостей в июне прошлого года и выпустила исправления для клиентов в сентябре 2024 года, но многие автопроизводители ещё не выпустили корректирующие обновления прошивки. По крайней мере один крупный производитель оригинального оборудования (OEM) лишь недавно узнал об этих угрозах безопасности.
Проблемы безопасности можно объединить в эксплойт, который исследователи называют атакой PerfektBlue. Злоумышленник может реализовать его «по воздуху», для чего потребуется «максимум один клик от пользователя».
Хотя BlueSDK от OpenSynergy широко используется в автомобильной промышленности, его также используют поставщики из других секторов.
PerfektBlue атаки
Команда пентестеров из компании PCA Cyber Security , специализирующейся на автомобильной безопасности, обнаружила уязвимости PerfektBlue и сообщила о них в OpenSynergy в мае 2024 года. Они являются постоянными участниками соревнований Pwn2Own Automotive и с прошлого года обнаружили более 50 уязвимостей в автомобильных системах.
По их словам, атака PerfektBlue затрагивает «миллионы устройств в автомобильной и других отраслях».
Обнаружить недостатки BlueSDK удалось путем анализа скомпилированного двоичного файла программного продукта, поскольку доступа к исходному коду не было.
Перечисленные ниже неисправности различаются по степени серьезности от самой низкой до самой высокой и могут обеспечить доступ к внутренним компонентам автомобиля через информационно-развлекательную систему.
- CVE-2024-45434 (высокая степень серьезности) — использование после AREE в службе AVRCP для профиля Bluetooth, который позволяет удаленно управлять медиаустройствами.
- CVE-2024-45431 (низкий уровень серьезности) — неправильная проверка идентификатора удаленного канала (CID) L2CAP (протокол управления логическими связями и адаптации)
- CVE-2024-45433 (средний уровень серьезности) — некорректное завершение функции в протоколе радиочастотной связи (RFCOMM)
- CVE-2024-45432 (средний уровень серьезности) — вызов функции с неверным параметром в протоколе RFCOMM
Исследователи не раскрыли полных технических подробностей об эксплуатации уязвимостей PerfektBlue, но заявили, что злоумышленник, подключенный к уязвимому устройству, может воспользоваться ими, чтобы «манипулировать системой, повышать привилегии и осуществлять латеральное проникновение в другие компоненты целевого продукта».
Компания PCA Cyber Security продемонстрировала атаки PerfektBlue на головные устройства информационно-развлекательных систем в автомобилях Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3) и получила обратную оболочку поверх протокола TCP/IP, которая обеспечивает связь между устройствами в сети, например, между компонентами автомобиля.
Исследователи утверждают, что при удаленном выполнении кода в информационно-развлекательной системе автомобиля (IVI) хакер может отслеживать координаты GPS, прослушивать разговоры в машине, получать доступ к контактам телефона и потенциально перемещаться в сторону более важных подсистем автомобиля.
Получение обратной оболочки для системы Mercedes-Benz NTG6
Источник: PCA Cyber Security
Риск и подверженность
BlueSDK от OpenSynergy широко используется в автомобильной промышленности, однако сложно определить, какие поставщики полагаются на него из-за процессов настройки и перекомпоновки, а также отсутствия прозрачности в отношении встроенных программных компонентов автомобиля.
PerfektBlue — это, в основном, однокнопочный RCE, поскольку в большинстве случаев для этого требуется обманным путём заставить пользователя разрешить сопряжение с устройством злоумышленника. Однако некоторые автопроизводители настраивают информационно-развлекательные системы на сопряжение без подтверждения.
В компании PCA Cyber Security сообщили BleepingComputer, что они проинформировали Volkswagen, Mercedes-Benz и Skoda об уязвимостях и дали им достаточно времени для установки исправлений, однако исследователи не получили от поставщиков ответа об устранении проблем.
BleepingComputer связался с тремя автопроизводителями, чтобы узнать, внедрили ли они исправления OpenSynergy. Заявление Mercedes пока не было опубликовано, а Volkswagen заявил, что начал расследование последствий и поиск способов устранения рисков сразу после того, как узнал о проблемах.
«Расследование показало, что при определенных условиях возможно подключение к информационно-развлекательной системе автомобиля через Bluetooth без разрешения», — сообщил нам представитель Volkswagen.
Немецкий автопроизводитель заявил, что использование уязвимостей возможно только при одновременном выполнении нескольких условий:
- Нападавший находится на расстоянии не более 5–7 метров от транспортного средства.
- Зажигание автомобиля должно быть включено.
- Информационно-развлекательная система должна находиться в режиме сопряжения, т. е. пользователь транспортного средства должен активно выполнять сопряжение с устройством Bluetooth.
- Пользователь транспортного средства должен активно одобрить внешний Bluetooth-доступ злоумышленника на экране.
Представитель Volkswagen заявил, что даже если эти условия возникнут и злоумышленник подключится к интерфейсу Bluetooth, «он должен оставаться на расстоянии не более 5–7 метров от автомобиля», чтобы сохранить доступ.
Поставщик подчеркнул, что в случае успешной эксплуатации хакер не сможет вмешаться в критически важные функции автомобиля, такие как рулевое управление, помощь водителю, двигатель или тормоза, поскольку они «находятся на другом блоке управления, защищенном от внешнего вмешательства собственными функциями безопасности».
Компания PCA Cyber Security сообщила BleepingComputer, что в прошлом месяце они подтвердили наличие PerfektBlue у четвертого OEM-производителя в автомобильной промышленности, который заявил, что OpenSynergy не уведомляла их о проблемах.
«Мы решили не раскрывать информацию об этом производителе оригинального оборудования, поскольку у него не было достаточно времени, чтобы отреагировать», — сообщили нам исследователи.
Мы планируем раскрыть подробности об этом затронутом OEM-производителе, а также все технические характеристики PerfektBlue в ноябре 2025 года в формате конференции.
BleepingComputer также связался с OpenSynergy, чтобы узнать о влиянии PerfektBlue на ее клиентов и о том, сколько людей пострадало, но на момент публикации мы не получили ответа.
Обновление 7/11 — компания Open Synergy ответила BleepingComputer, заявив, что из-за соглашений о неразглашении компания не может раскрыть, какие производители или модели автомобилей затронуты этой уязвимостью, но заверила нас, что работает с ними над индивидуальным решением.
Mercedes-Benz ответил на нашу просьбу прокомментировать ситуацию следующим заявлением:
В ноябре 2024 года к нам обратилась группа внешних исследователей безопасности по поводу фреймворка Bluetooth Open Synergy BlueSDK. Наша компания тщательно изучила представленные результаты и приняла все необходимые меры по снижению рисков. Open Synergy уже выпустила обновление библиотеки BlueSDK, которое также доступно через беспроводные обновления. — Mercedes-Benz
About The Author
