Kiberbiztonsági kutatók a PCA Cyber Security csapatából súlyos sebezhetőségeket tártak fel az OpenSynergy BlueSDK Bluetooth-verem implementációjában. A hiba összefoglaló neve: PerfektBlue. Ez a sérülékenység lehetővé teheti a távoli kódfuttatást (RCE), amellyel egy támadó teljes hozzáférést szerezhet az autó infotainment rendszeréhez – sőt, akár más járműfunkciókhoz is.
🔍 Mi az a BlueSDK és miért kritikus?
A BlueSDK egy hardverfüggetlen, járműiparban széles körben alkalmazott Bluetooth-megoldás, amely támogatja mind a Bluetooth Classic, mind a Low Energy módokat. Rugalmassága miatt a gyártók saját igényeikre szabhatják – ez azonban biztonsági kockázatokat is hordozhat.
A PerfektBlue támadás során a támadó:
- Átveheti az irányítást az infotainment rendszer felett
- Követheti a jármű helyzetét
- Rögzítheti a mikrofon hangját
- Elérheti a telefonkönyvet
- Elméletileg hozzáférhet kritikus funkciókhoz is (pl. kormányzás, ablaktörlő), bár ezt a kutatók nem demonstrálták.
„A PerfektBlue támadás mindössze egy sikeres párosítást igényel – ez gyakran csak egyetlen kattintás.” – olvasható a PCA közleményében.
🚘 Érintett gyártók és modellek
A BlueSDK implementációját használják többek közt az alábbi gyártók járműveiben:
- Mercedes-Benz (NTG6 egység)
- Volkswagen (MEB ICAS3 egység)
- Škoda (MIB3 egység)
A PerfektBlue láncolat tesztjei igazolták, hogy 1-kattintásos távoli kódfuttatás is elérhető ezekben az egységekben.
🛠️ A sebezhetőségek részletei (CVE-azonosítóval)
| CVE azonosító | Leírás | Súlyosság (CVSS 3.1) |
|---|---|---|
| CVE-2024-45434 | Use-After-Free az AVRCP szolgáltatásban | 8.0 (kritikus) |
| CVE-2024-45431 | Hibás L2CAP CID ellenőrzés | 3.5 (alacsony) |
| CVE-2024-45433 | Hibás függvény-lezárás az RFCOMM-ben | 5.7 (közepes) |
| CVE-2024-45432 | Hibás paraméterátadás az RFCOMM-ben | 5.7 (közepes) |
⏱️ Frissítés és idővonal
A hibák bejelentése és javítása felelős módon történt:
- 2024. május 17. – PCA bejelentette a hibákat az OpenSynergy felé
- 2024. szeptember – Javítócsomag elérhetővé vált
- 2025. július 7. – A nyilvános biztonsági figyelmeztetés megjelent
⚙️ Mit tehetsz felhasználóként?
- Frissítsd a jármű rendszerét, ha gyártói frissítés érhető el
- Kapcsold ki a Bluetooth-t, ha nem használod
- Ne fogadj el ismeretlen Bluetooth párosítási kéréseket
- Kérdezd meg márkaszervizedet a BlueSDK jelenlétéről és frissítésekről
🎯 Miért fontos ez?
Az autók egyre inkább mozgó számítógépek, amelyek hálózati kapcsolatokon és komplex szoftvereken alapulnak. A PerfektBlue esete rávilágít, hogy a Bluetooth nem csupán kényelmi funkció, hanem potenciális belépési pont a támadók számára.
Ez a figyelmeztetés nemcsak a Mercedes, VW és Skoda tulajdonosait érinti – bármely eszköz vagy jármű, amely a BlueSDK-t használja, potenciálisan sebezhető lehet.
