A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézete (NBSZ NKI) felhívja a figyelmet a PerfektBlue néven ismertté vált sebezhetőségekre, amelyek a BlueSDK Bluetooth-keretrendszert érintik, és világszerte több millió jármű infotainment-rendszerét tehetik támadhatóvá.
A PCA Cyber Security kiberbiztonsági vállalat kutatói több sérülékenységet azonosítottak a BlueSDK Bluetooth-keretrendszerben, amelyet az OpenSynergy fejlesztett, és amelyet számos autógyártó, köztük a Mercedes-Benz, a Skoda, a Volkswagen, valamint legalább még egy meg nem nevezett autógyártó (OEM) alkalmaz járműveibe. Bár az egyes sérülékenységek CVSS-besorolása azalacsonytól magasig terjed, a sebezhetőségek láncba fűzésével a támadók képesek lehetnek távoli kódfuttatásra, biztonsági mechanizmusok megkerülésére és érzékeny információk megszerzésére, így összességében a PerfektBlue technika kritikus sebezhetőségnek mondható.
Egy sikeres PerfektBlue támadás során a következő kockázatok merülhetnek fel:
- A jármű helyzetének valós idejű követése
- Belső hangrögzítés az utastérből
- Telefonkönyv-adatok megszerzése a párosított eszközökről
- Elméleti lehetőség a jármű egyéb rendszereibe történő bejutásra, pédául kormányzás, kürt, ablaktörlők vezérlőibe. (A PerfektBlue esetében ez nem került bemutatásra, korábbi kutatások bizonyítják, hogy technológialag lehetséges az infotainment rendszerből való kitörés, és a kritikusabb rendszerekbe való bejutás)
A támadás kivitelezéséhez a hackereknek Bluetooth-hatósugarán belül kell tartózkodniuk (5-7 méter), és laptopjukat párosítaniuk kell a célzott infotainment-rendszerrel. Bizonyos esetekben ez felhasználói jóváhagyás nélkül is lehetséges, míg más esetekben minimális (egyetlen gombnyomás) interakcióra van szükség.
A sérülékenységeket a kutatók 2024 májusában jelentették az OpenSynergy felé:
- CVE-2024-45431
- CVE-2024-45432
- CVE-2024-45433
- CVE-2024-45434
azonosítókkal, a biztonsági javítások 2024 szeptemberétől kerültek kiadásra.
Az NBSZ NKI az eset kapcsán az alábbiakat javasolja:
- A járműflották üzemeltetői és a szervizek ellenőrizzék, hogy a gyártói frissítések sikeresen telepítve vannak-e a járművek infotainment rendszerein!
- A Bluetooth-párosítási folyamatokat állítsák be a lehető legszigorúbb felhasználói jóváhagyást igénylő módra!
- A járműtulajdonosok rendszeresen telepítsék a jármű szoftverfrissítéseit, különösen azokat, amelyek a vezetéstámogató vagy a kommunikációs rendszereket érintik!
- Az autószervizek és flottakezelők oktassák munkatársaikat a járműkiberbiztonsági kockázatok felismerésére és kezelésére.
- A felhasználók teljesen kapcsolják ki az infotainment rendszer bluetooth funkcióit, amennyiben nem használják őket!
- Kísérjék figyelemmel az NBSZ NKI által közzétett aktuális kiberbiztonsági figyelmeztetéseket, különös tekintettel a járműipari fenyegetettségekre!