Quatro vulnerabilidades conhecidas como PerfektBlue, que afetam o stack Bluetooth BlueSDK da OpenSynergy, podem ser exploradas para conseguir execução de código remota, potencialmente permitindo o acesso a elementos críticos em veículos de vários fabricantes, incluindo Mercedes-Benz AG, Volkswagen e Skoda.
A OpenSynergy confirmou as falhas em junho do ano passado e lançou patches para os clientes em setembro de 2024, mas muitos fabricantes de automóveis ainda não atualizaram o firmware corretivamente.
Pelo menos um grande OEM soube recentemente dos riscos de segurança.
Os problemas de segurança podem ser encadeados em um exploit que os pesquisadores chamam de ataque PerfektBlue, que pode ser entregue over-the-air por um atacante, exigindo "no máximo 1-clique por parte do usuário".
Embora o BlueSDK da OpenSynergy seja amplamente utilizado na indústria automotiva, fornecedores de outros setores também o utilizam.
A equipe de pentesters da PCA Cyber Security, uma empresa especializada em segurança automotiva, descobriu as vulnerabilidades PerfektBlue e as reportou à OpenSynergy em maio de 2024.
São participantes regulares nas competições Pwn2Own Automotive e descobriram mais de 50 vulnerabilidades em sistemas de carros desde o ano passado.
Segundo eles, o ataque PerfektBlue afeta "milhões de dispositivos na indústria automotiva e em outras indústrias."
A descoberta das falhas no BlueSDK foi possível pela análise de um binário compilado do produto de software, uma vez que não tinham acesso ao código fonte.
Os problemas, listados abaixo, variam em gravidade de baixa a alta e podem fornecer acesso aos internos do carro através do sistema de infotainment.
CVE-2024-45434 (alta gravidade) – use-after-free no serviço AVRCP para perfil Bluetooth que permite controle remoto sobre dispositivos de mídia
CVE-2024-45431 (baixa gravidade) – validação inadequada de um identificador de canal remoto (CID) do canal L2CAP ((Logical Link Control and Adaptation Protocol))
CVE-2024-45433 (gravidade média) – término incorreto de função no protocolo Radio Frequency Communication (RFCOMM)
CVE-2024-45432 (gravidade média) – chamada de função com parâmetro incorreto no protocolo RFCOMM
Os pesquisadores não compartilharam detalhes técnicos completos sobre como explorar as vulnerabilidades PerfektBlue, mas disseram que um atacante pareado com o dispositivo afetado poderia explorá-las para "manipular o sistema, escalar privilégios e realizar movimentos laterais para outros componentes do produto alvo."
A PCA Cyber Security demonstrou ataques PerfektBlue em unidades de cabeça de infotainment em Volkswagen ID.4 (sistema ICAS3), Mercedes-Benz (NTG6) e Skoda Superb (MIB3), e obteve um reverse shell no topo do TCP/IP, que permite a comunicação entre dispositivos em uma rede, como componentes em um carro.
Os pesquisadores dizem que com a execução de código remoto em infotainment de veículo (IVI) um hacker poderia rastrear coordenadas GPS, espionar conversas no carro, acessar contatos telefônicos e potencialmente mover-se lateralmente para subsistemas mais críticos no veículo.
O BlueSDK da OpenSynergy é amplamente utilizado na indústria automotiva, mas é difícil determinar quais fornecedores dependem dele devido a processos de personalização e reembalagem, bem como a falta de transparência em relação aos componentes de software embutidos de um carro.
PerfektBlue é principalmente um RCE de 1-clique porque, na maioria das vezes, requer a indução do usuário a permitir o pareamento com um dispositivo atacante.
No entanto, alguns fabricantes de automóveis configuram sistemas de infotainment para parear sem qualquer confirmação.
A PCA Cyber Security informou que notificou Volkswagen, Mercedes-Benz e Skoda sobre as vulnerabilidades e lhes deu tempo suficiente para aplicar os patches, mas os pesquisadores não receberam resposta dos fornecedores sobre a resolução dos problemas.
O site BleepingComputer contatou os três fabricantes de automóveis para perguntar se eles implementaram as correções da OpenSynergy.
Uma declaração da Mercedes não estava imediatamente disponível e a Volkswagen disse que começou a investigar o impacto e as formas de abordar os riscos imediatamente após aprender sobre os problemas.
"As investigações revelaram que é possível, sob certas condições, conectar-se ao sistema de infotainment do veículo via Bluetooth sem autorização," nos disse um porta-voz da Volkswagen.
O fabricante alemão de automóveis disse que explorar as vulnerabilidades é possível apenas se várias condições ocorrerem ao mesmo tempo:
O atacante está a uma distância máxima de 5 a 7 metros do veículo.
A ignição do veículo deve estar ligada.
O sistema de infotainment deve estar em modo de pareamento, ou seja, o usuário do veículo deve estar ativamente pareando um dispositivo Bluetooth.
O usuário do veículo deve aprovar ativamente o acesso Bluetooth externo do atacante na tela.
Mesmo que essas condições ocorram e um atacante se conecte à interface Bluetooth, "eles devem permanecer dentro de uma distância máxima de 5 a 7 metros do veículo" para manter o acesso, disse o representante da Volkswagen.
O fornecedor sublinhou que, em caso de exploração bem-sucedida, um hacker não poderia interferir com funções críticas do veículo, como direção, assistência ao condutor, motor ou freios, porque estão "em uma unidade de controle diferente protegida contra interferências externas por suas próprias funções de segurança."
A PCA Cyber Security disse ao site BleepingComputer que no mês passado confirmou PerfektBlue em um quarto OEM na indústria automotiva, que disse que a OpenSynergy não os havia informado sobre os problemas.
"Decidimos não divulgar este OEM porque não havia tempo suficiente para eles reagirem," disseram os pesquisadores.
"Planejamos divulgar os detalhes sobre este OEM afetado, bem como os detalhes técnicos completos do PerfektBlue em novembro de 2025, no formato de uma palestra em conferência."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...