- Специальный корреспондент
Четыре уязвимости в стеке Bluetooth BlueSDK от компании OpenSynergy, объединённые под названием PerfektBlue, представляют угрозу безопасности миллионов автомобилей. Они позволяют выполнить удалённый код на целевом устройстве и потенциально получить доступ к критически важным элементам транспортных средств от таких производителей, как Mercedes-Benz, Volkswagen и Skoda.
Проблемы в программном обеспечении были обнаружены специалистами компании PCA Cyber Security, специализирующейся на защите автомобильных систем. Они сообщили о них OpenSynergy в мае 2024 года. Уже в июне разработчик подтвердил уязвимости и в сентябре того же года предоставил исправления своим клиентам. Однако значительная часть автопроизводителей до сих пор не внедрила обновлённую прошивку. Как минимум один крупный автоконцерн только недавно узнал о проблеме.
Атака PerfektBlue может быть реализована через цепочку эксплойтов, которые специалистам удалось связать между собой. В большинстве случаев для её запуска достаточно одного клика пользователя. Уязвимости можно использовать через Bluetooth-соединение, и в ряде случаев для их эксплуатации не требуется подтверждения со стороны владельца машины — достаточно определённой конфигурации системы.
BlueSDK широко применяется в автомобилестроении, однако также используется в других отраслях. Это делает масштабы потенциального ущерба особенно серьёзными. PCA Cyber Security , что уязвимости касаются миллионов устройств, и смогли доказать это на практике: им удалось получить обратную оболочку (reverse shell) в автомобилях Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3), проникнув в сеть через инфотейнмент-систему.
Самые опасные из выявленных проблем относятся к Bluetooth-профилю AVRCP и протоколу RFCOMM:
Исследование проводилось без доступа к исходному коду — специалисты анализировали скомпилированный бинарный файл BlueSDK. По их словам, при успешной атаке возможно отслеживание координат GPS, прослушка разговоров в салоне, доступ к телефонной книге, а также движение по внутренней сети автомобиля к другим компонентам.
Получение реверс-шелла на системе Mercedes-Benz NTG6 (PCA Cyber Security)
Компания OpenSynergy не сообщила точное количество затронутых клиентов. Это объясняется тем, что BlueSDK часто модифицируется и встраивается в разные системы, что затрудняет его отслеживание. Volkswagen признала, что действительно существует, но подчеркнула: для её эксплуатации необходимо совпадение ряда условий. В частности, злоумышленник должен находиться в 5–7 метрах от автомобиля, двигатель должен быть включён, система — в режиме сопряжения, а пользователь — вручную подтвердить подключение.
Также в Volkswagen , что даже в случае успешной атаки критически важные системы управления, такие как рулевое управление, тормоза и двигатель, находятся под отдельной защитой и изолированы от Bluetooth-модуля.
PCA Cyber Security отмечает, что в июне 2025 года они подтвердили наличие PerfektBlue ещё у одного автопроизводителя, не получившего предупреждение от OpenSynergy. Название этой компании пока не раскрывается — ей ещё не было предоставлено достаточно времени на реагирование. Полная техническая информация об уязвимостях будет представлена в ноябре 2025 года в формате доклада на конференции.
К настоящему моменту Mercedes-Benz не прокомментировала ситуацию. В свою очередь, Volkswagen начала расследование после получения уведомления и заявила о поиске способов устранения угрозы. Однако вопрос своевременности реакции автопроизводителей на подобные риски остаётся открытым.
Проблемы в программном обеспечении были обнаружены специалистами компании PCA Cyber Security, специализирующейся на защите автомобильных систем. Они сообщили о них OpenSynergy в мае 2024 года. Уже в июне разработчик подтвердил уязвимости и в сентябре того же года предоставил исправления своим клиентам. Однако значительная часть автопроизводителей до сих пор не внедрила обновлённую прошивку. Как минимум один крупный автоконцерн только недавно узнал о проблеме.
Атака PerfektBlue может быть реализована через цепочку эксплойтов, которые специалистам удалось связать между собой. В большинстве случаев для её запуска достаточно одного клика пользователя. Уязвимости можно использовать через Bluetooth-соединение, и в ряде случаев для их эксплуатации не требуется подтверждения со стороны владельца машины — достаточно определённой конфигурации системы.
BlueSDK широко применяется в автомобилестроении, однако также используется в других отраслях. Это делает масштабы потенциального ущерба особенно серьёзными. PCA Cyber Security , что уязвимости касаются миллионов устройств, и смогли доказать это на практике: им удалось получить обратную оболочку (reverse shell) в автомобилях Volkswagen ID.4 (система ICAS3), Mercedes-Benz (NTG6) и Skoda Superb (MIB3), проникнув в сеть через инфотейнмент-систему.
Самые опасные из выявленных проблем относятся к Bluetooth-профилю AVRCP и протоколу RFCOMM:
-
(high severity) — ошибка use-after-free ( ) в службе AVRCP позволяет атакующему управлять мультимедийными устройствами; -
и (medium severity) — проблемы с завершением функций и неправильными параметрами вызовов в RFCOMM; -
(low severity) — недостаточная проверка идентификатора канала в L2CAP.
Исследование проводилось без доступа к исходному коду — специалисты анализировали скомпилированный бинарный файл BlueSDK. По их словам, при успешной атаке возможно отслеживание координат GPS, прослушка разговоров в салоне, доступ к телефонной книге, а также движение по внутренней сети автомобиля к другим компонентам.
Получение реверс-шелла на системе Mercedes-Benz NTG6 (PCA Cyber Security)
Компания OpenSynergy не сообщила точное количество затронутых клиентов. Это объясняется тем, что BlueSDK часто модифицируется и встраивается в разные системы, что затрудняет его отслеживание. Volkswagen признала, что действительно существует, но подчеркнула: для её эксплуатации необходимо совпадение ряда условий. В частности, злоумышленник должен находиться в 5–7 метрах от автомобиля, двигатель должен быть включён, система — в режиме сопряжения, а пользователь — вручную подтвердить подключение.
Также в Volkswagen , что даже в случае успешной атаки критически важные системы управления, такие как рулевое управление, тормоза и двигатель, находятся под отдельной защитой и изолированы от Bluetooth-модуля.
PCA Cyber Security отмечает, что в июне 2025 года они подтвердили наличие PerfektBlue ещё у одного автопроизводителя, не получившего предупреждение от OpenSynergy. Название этой компании пока не раскрывается — ей ещё не было предоставлено достаточно времени на реагирование. Полная техническая информация об уязвимостях будет представлена в ноябре 2025 года в формате доклада на конференции.
К настоящему моменту Mercedes-Benz не прокомментировала ситуацию. В свою очередь, Volkswagen начала расследование после получения уведомления и заявила о поиске способов устранения угрозы. Однако вопрос своевременности реакции автопроизводителей на подобные риски остаётся открытым.
