Hai una Mercedes, Volkswagen o Skoda? Fai attenzione a PerfektBlue, la falla Bluetooth che colpisce i sistemi di bordo

Nel giugno 2024, OpenSynergy ha confermato la presenza di quattro gravi vulnerabilità, identificate come PerfektBlue, nel proprio stack Bluetooth BlueSDK. Queste falle, scoperte dal team di penetration tester di PCA Cyber Security, sono state segnalate a OpenSynergy già a maggio 2024 e le relative patch sono state distribuite ai clienti a settembre dello stesso anno. Tuttavia, molte case automobilistiche non hanno ancora implementato gli aggiornamenti correttivi, lasciando esposti milioni di veicoli a potenziali attacchi informatici.

Le vulnerabilità, identificate dai CVE CVE-2024-45434 (gravità alta), CVE-2024-45432 e  CVE-2024-45433 (gravità media) e CVE-2024-45431 (gravità bassa), possono essere sfruttate in combinazione per ottenere l’esecuzione di codice remoto (RCE) tramite Bluetooth. Il team di PCA ha dimostrato che, sfruttando queste falle, un attaccante può manipolare il sistema, ottenere privilegi più elevati e muoversi lateralmente verso altri componenti del veicolo. L’attacco, denominato PerfektBlue, può essere eseguito over-the-air e richiede nella maggior parte dei casi solo un click da parte dell’utente per l’abbinamento Bluetooth con il dispositivo malevolo.

OpenSynergy BlueSDK è ampiamente utilizzato nell’industria automobilistica e in altri settori. Tra i marchi confermati come vulnerabili figurano Mercedes-Benz AG, Volkswagen e Skoda. Il team di PCA Cyber Security ha dimostrato l’attacco su unità di infotainment di Volkswagen ID.4 (ICAS3), Mercedes-Benz (NTG6) e Skoda Superb (MIB3), ottenendo una reverse shell sulla rete interna del veicolo. Secondo i ricercatori, sarebbero coinvolti “milioni di dispositivi” anche al di fuori dell’automotive, come telefoni e sistemi portatili.

Una volta ottenuto l’accesso all’infotainment tramite PerfektBlue, un attaccante può tracciare la posizione GPS del veicolo, ascoltare conversazioni all’interno dell’abitacolo, accedere ai contatti telefonici e, in alcuni casi, tentare di spostarsi verso sottosistemi più critici del veicolo.

PCA Cyber Security ha informato Volkswagen, Mercedes-Benz e Skoda delle vulnerabilità, ma al momento della pubblicazione non ha ricevuto riscontro sull’implementazione delle patch. Volkswagen ha dichiarato di aver avviato le indagini e di aver preso in considerazione le misure correttive subito dopo essere venuta a conoscenza del problema. Il produttore ha inoltre affermato che per sfruttare le vulnerabilità devono verificarsi simultaneamente diverse condizioni: l’attaccante deve trovarsi entro 5-7 metri dal veicolo, l’accensione deve essere attiva, il sistema in modalità pairing e l’utente deve approvare l’accesso. Inoltre, le funzioni più critiche come sterzo, motore e freni sarebbero protette da unità di controllo separate e da ulteriori misure di sicurezza.

Un quarto produttore, rimasto anonimo, è stato avvisato solo di recente. OpenSynergy, dal canto suo, ha confermato la distribuzione delle patch a partire da settembre 2024, ma non è chiaro quanti clienti abbiano effettivamente aggiornato i propri sistemi.

A complicare ulteriormente la situazione è la natura modulare di BlueSDK: il software viene spesso personalizzato e integrato in modo trasparente dai produttori, rendendo difficile stabilire con precisione quali veicoli o dispositivi siano effettivamente a rischio. Gli esperti raccomandano agli utenti e ai produttori di mantenere aggiornati i sistemi e, dove possibile, disabilitare il Bluetooth in attesa degli aggiornamenti.

PCA Cyber Security prevede di rivelare ulteriori dettagli tecnici e il nome del quarto produttore coinvolto in una conferenza prevista per novembre 2025.