POZOR! Tieto obľúbené autá Slovákov možno hacknúť cez Bluetooth. V aute ťa môžu dokonca odpočúvať
Milióny vozidiel značiek Mercedes, Volkswagen a Škoda sú ohrozené kritickými zraniteľnosťami v Bluetooth systéme. Útočníci môžu ovládnuť časti infotainmentu, sledovať polohu vozidla a dokonca odpočúvať dianie v kabíne.
Bezpečnostní výskumníci zverejnili kritickú sadu zraniteľností Bluetooth s názvom „PerfektBlue“. Týkajú sa miliónov vozidiel a ďalších zariadení, ktoré využívajú framework OpenSynergy BlueSDK. Tieto zraniteľnosti sa dajú navzájom kombinovať, čo útočníkovi umožňuje vzdialene spustiť kód (tzv. RCE), a to prakticky s minimálnou interakciou používateľa. Na úspešný útok postačí len spárovanie zariadenia, nič viac.
Framework OpenSynergy BlueSDK používajú hlavne automobilky a ohrozené sú predovšetkým tie nemecké. Upozornil na to zahraničný server GBHackers.
Výskumníci zatiaľ identifikovali štyri samostatné zraniteľnosti. Najvážnejšia z nich má označenie CVE-2024-45434 a ide o chybu typu Use-After-Free v službe AVRCP, ktorá dosahuje CVSS skóre 8.0 a je považovaná za kritickú. Ďalej bola objavená zraniteľnosť CVE-2024-45431, ktorá súvisí s nesprávnou validáciou vzdialeného CID L2CAP kanála. Jej CVSS skóre je 3.5, takže ide o nízke riziko. O niečo vyššie riziko predstavujú zraniteľnosti CVE-2024-45432 a CVE-2024-45433. Prvá z nich súvisí s volaním funkcie s nesprávnym parametrom v komponente RFCOMM a druhá s nesprávnym ukončením funkcie v tom istom komponente. Obe majú CVSS skóre 5.7 a patria medzi stredne vážne problémy.
Ohrozené sú populárne značky áut
Medzi potvrdenými výrobcami, ktorých sa problém týka, sú prémiový Mercedes-Benz AG a značky ako Volkswagen a Škoda. Výskumníci upozorňujú, že zraniteľnosti nezasahujú len automobily, ale aj mobilné telefóny a iné prenosné zariadenia. Na ich zneužitie stačí v niektorých prípadoch len jeden klik používateľa cez bezdrôtové pripojenie.
To predstavuje obzvlášť veľké riziko pre infotainment systémy vo vozidlách. Po úspešnom útoku môžu útočníci sledovať GPS súradnice vozidla, nahrávať zvuk v interiéri, získať prístup ku kontaktom v telefóne a podľa architektúry systému dokonca preniknúť aj do ďalších riadiacich jednotiek vozidla (ECU). Útok PerfektBlue využíva kombináciu pamäťových chýb a logických zraniteľností, aby maximalizoval dopad.
Neprehliadni
Ako boli zraniteľnosti odhalené?
Tím PCA Security Assessment Team identifikoval tieto chyby analýzou skompilovaných Bluetooth spustiteľných súborov založených na BlueSDK. Keďže zdrojový kód automobiliek nie je verejne dostupný, overenie sa uskutočnilo pomocou proof-of-concept exploitov na troch rôznych infotainment systémoch:
- Volkswagen MEB ICAS3 (napr. modely ID),
- Mercedes-Benz NTG6 hlavná jednotka,
- Škoda MIB3 systém (napr. Superb).
Zraniteľnosti boli prvýkrát nahlásené spoločnosti OpenSynergy ešte v máji 2024. Firma ich potvrdila a v septembri 2024 vydala opravy. V automobilovom svete však nič nejde rýchlo – každý zásah do systému sa musí dôkladne otestovať a schváliť. Zatiaľ čo Tesla si vie softvér aktualizovať okamžite, tradiční výrobcovia závisia od zložitých dodávateľských reťazcov.
Niektorí výrobcovia OEM dostali opravy až v júni 2025. Narazilo sa aj na komunikačné bariéry – jeden nemenovaný výrobca dokonca priznal, že o probléme nebol informovaný a jeho dodávatelia ho na opravy neupozornili, hoci samotná spoločnosť OpenSynergy ich už mala pripravené.
Čo by si mal urobiť?
Zavolaj do autorizovaného servisu alebo showroomu a over si, či je pre tvoje vozidlo dostupná aktualizácia systému. Mal by si získať presné pokyny týkajúce sa aktualizácie infotainment systému. Kým sa situácia nevyrieši, odporúčame ti preventívne vypnúť Bluetooth aspoň počas státia, aby si minimalizoval riziko zneužitia.
