top of page
Buscar

Falhas 'PerfektBlue' em Bluetooth deixam milhões de carros, incluindo Volkswagen e Mercedes, vulneráveis a hackers

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 11 de jul.
  • 3 min de leitura
ree

Um conjunto de quatro vulnerabilidades críticas, apelidado de "PerfektBlue", foi descoberto no software de Bluetooth BlueSDK da OpenSynergy, expondo milhões de veículos de marcas renomadas como Mercedes-Benz, Volkswagen e Skoda a possíveis ataques.


As falhas, quando exploradas em conjunto, podem permitir que um hacker execute remotamente códigos maliciosos, obtendo acesso a sistemas de infotenimento e, potencialmente, a componentes mais críticos dos automóveis.


A descoberta foi feita pela equipe de pentesters da PCA Cyber Security, uma empresa especializada em segurança automotiva. Embora a OpenSynergy, desenvolvedora do BlueSDK, tenha confirmado as falhas em junho do ano passado e liberado as correções para seus clientes — as montadoras — em setembro de 2024, muitos veículos permanecem sem a atualização de firmware necessária.

ree

A situação é agravada pelo fato de que pelo menos uma grande fabricante de automóveis só tomou conhecimento dos riscos de segurança recentemente.


Os especialistas em segurança, participantes regulares de competições como a Pwn2Own Automotive, demonstraram que um invasor pode lançar um ataque "PerfektBlue" pelo ar (over-the-air), exigindo no máximo "um clique do usuário" para ter sucesso.


A equipe da PCA Cyber Security identificou as falhas ao analisar um binário compilado do software, visto que não possuíam acesso ao código-fonte. O ataque consiste em encadear as seguintes vulnerabilidades para escalar privilégios e controlar o sistema:

  • CVE-2024-45434 (severidade alta): Uma falha de "use-after-free" no serviço AVRCP, que permite o controle remoto de dispositivos de mídia via Bluetooth.

  • CVE-2024-45431 (severidade baixa): Validação inadequada no identificador de canal remoto do protocolo L2CAP.

  • CVE-2024-45433 (severidade média): Encerramento incorreto de função no protocolo RFCOMM.

  • CVE-2024-45432 (severidade média): Chamada de função com parâmetro incorreto também no protocolo RFCOMM.


Uma vez que um hacker consegue parear seu dispositivo com o sistema de infotenimento do veículo, ele pode explorar essas falhas para "manipular o sistema, escalar privilégios e realizar movimento lateral para outros componentes do produto alvo". As demonstrações práticas foram realizadas com sucesso em centrais multimídia do Volkswagen ID.4 (sistema ICAS3), de um modelo Mercedes-Benz (NTG6) e do Skoda Superb (MIB3).


Com a execução remota de código no sistema de infotenimento (IVI), um hacker poderia rastrear as coordenadas de GPS do carro, espionar conversas dentro do veículo, acessar a lista de contatos do telefone do motorista e, em um cenário mais grave, tentar se mover para subsistemas mais críticos.


O BlueSDK é amplamente utilizado na indústria automotiva internacional, mas a falta de transparência sobre os componentes de software embarcados torna difícil determinar exatamente quais modelos e marcas estão vulneráveis.


Na maioria dos casos, o ataque "PerfektBlue" requer que o usuário seja enganado para autorizar o pareamento com o dispositivo do invasor. Contudo, alguns sistemas são configurados para permitir o pareamento sem qualquer confirmação, aumentando o risco.


A Volkswagen, após ser notificada, afirmou ter iniciado imediatamente uma investigação. Um porta-voz da montadora alemã declarou que a exploração só é possível sob um conjunto de condições estritas: o invasor deve estar a uma distância de 5 a 7 metros, a ignição do carro precisa estar ligada, o sistema de infotenimento deve estar em modo de pareamento ativo e o usuário precisa aprovar manualmente o acesso na tela.


A empresa ressaltou que, mesmo em caso de sucesso, funções críticas como direção, freios e motor não poderiam ser afetadas, pois estão em uma unidade de controle separada e protegida.


A PCA Cyber Security, por sua vez, informou ao que a Mercedes-Benz e a Skoda não responderam sobre a aplicação das correções. Mais alarmante, os pesquisadores confirmaram no mês passado que uma quarta montadora, cujo nome não foi revelado para dar tempo de reação, também está vulnerável e sequer havia sido informada sobre as falhas pela OpenSynergy.


A PCA planeja divulgar todos os detalhes técnicos do "PerfektBlue" em uma conferência em novembro de 2025.


Via - BC

 
 
 

Comentários

bottom of page