У програмному стеку Bluetooth BlueSDK, що застосовується у мультимедійних системах популярних автомобільних марок, виявлено низку критичних вразливостей, які можуть становити загрозу безпеці користувачів. Зловмисники потенційно здатні прослуховувати приватні розмови, отримувати доступ до контактів та геолокаційних даних. Власники автомобілів брендів Mercedes, Volkswagen, Skoda та, ймовірно, інших автовиробників опинилися під підвищеною ризиковою категорією.
За інформацією, оприлюдненою ресурсом BleepingComputer, фахівці з компанії PCA Cyber Security виявили чотири уразливості в Bluetooth-стеку BlueSDK, які отримали унікальні ідентифікаційні номери CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 та CVE-2024-45432. У сукупності ці дірки становлять експлойт із назвою PerfektBlue, що дає змогу здійснити віддалене виконання шкідливого коду (Remote Code Execution, RCE).
Теоретично, зловмисник може встановити через Bluetooth з’єднання із мультимедійною системою автомобіля, якщо жертва підтвердить підключення або ж зʼєднання відбудеться автоматично. Унаслідок цього зловмисник отримує доступ до конфіденційної інформації з підʼєднаних пристроїв, включно з контактами, аудіоданими, GPS-координатами та іншими персональними відомостями.
Дослідники безпеки сповістили компанію OpenSynergy, розробника Bluetooth-стеку, ще в червні 2024 року. Виправлення помилок було випущено у вересні того ж року, однак його впровадження залишається за автовиробниками. Згідно з даними PCA Cyber Security, наразі жоден із виробників повністю не реалізував оновлення, за винятком компанії Volkswagen, яка ініціювала внутрішнє розслідування інциденту та опублікувала перелік умов, за яких вразливість може бути використана:
1. Атакуючий повинен перебувати у радіусі 5–7 метрів від автомобіля.
2. Увімкнене запалювання транспортного засобу.
3. Мультимедійна система перебуває у режимі сполучення (pairing mode).
4. Користувач вручну підтверджує підключення пристрою.
Bluetooth-стек BlueSDK застосовується у широкому спектрі галузей, зокрема в автомобільній індустрії. Часто такі компоненти інтегрують без достатнього аналізу рівня їхньої захищеності, що створює загрози не лише для водіїв, а й для пасажирів. З урахуванням стрімкого зростання кількості підключених транспортних засобів, питання безпеки бездротових зʼєднань набуває особливої ваги. Оскільки більшість автовиробників поки що не поспішають з реалізацією оновлень безпеки, власникам автомобілів рекомендується з обережністю ставитися до Bluetooth-зʼєднань у своїх авто.
Раніше повідомлялося про нову вразливість у системі сповіщень Android, через яку користувачі цього мобільного середовища ризикують потрапити на шахрайські сайти або ненавмисно ініціювати небажані команди в додатках. Така атака маскується під звичайне повідомлення з посиланням, однак насправді відкривається зовсім інший URL або активується прихована дія.
