Opdagelsen af PerfektBlue Bluetooth-sårbarheder har rejst alvorlige sikkerhedsbekymringer i bilindustrien.
Disse fejl kan give fjernhackere adgang til følsomme bilsystemer på tværs af flere bilmærker.
Hvad er PerfektBlue?
PerfektBlue henviser til fire nyligt opdagede sikkerhedsfejl i OpenSynergys BlueSDK Bluetooth-stack.
OpenSynergys software kører i mange køretøjer, herunder dem fra Mercedes-Benz, Volkswagen og Skoda.
PCA Cyber Security, en cybersikkerhedsspecialist inden for bilindustrien, opdagede PerfektBlue Bluetooth-sårbarhederne.
Teamet har afsløret over 50 bilsystem-sårbarheder i de senere år.
Opdagelsen og Responsen
PCA Cyber Security opdagede fejlene i maj 2024 og rapporterede dem til OpenSynergy.
OpenSynergy bekræftede problemerne i juni og udgav patches i september 2024.
Mange bilproducenter har dog endnu ikke rullet opdateringerne ud til de berørte køretøjer.
Chokerende nok har mindst én større producent først for nylig fået kendskab til risikoen.
Hvordan PerfektBlue-angreb fungerer
PerfektBlue Bluetooth-sårbarhederne kan udnyttes gennem et trådløst angreb.
En angriber behøver blot at være i nærheden og kan i nogle tilfælde nøjes med ét klik fra brugeren.
I visse tilfælde kan angriberen parre sig med bilens system uden brugerens bekræftelse.
PCA Cyber Security demonstrerede angreb på populære modeller som:
- Volkswagen ID.4 (ICAS3)
- Mercedes-Benz NTG6
- Skoda Superb (MIB3)
Angrebene gjorde det muligt at opnå fjernkontrol, inklusive en reverse shell på bilens netværk.
Dette kunne afsløre GPS-data, private samtaler, kontaktlister og mere.
De Fire Sikkerhedsfejl Forklaret
Forskerne fandt fire specifikke sårbarheder:
- CVE-2024-45434 (Høj): Tillader kapring af mediekontrol via AVRCP-tjenesten.
- CVE-2024-45431 (Lav): Problemer med validering af L2CAP-kanaler.
- CVE-2024-45433 (Mellem): Forkert afslutning af funktion i RFCOMM-protokollen.
- CVE-2024-45432 (Mellem): Forkert funktionskald i RFCOMM-protokollen.
Udnyttelse af disse fejl kan give angribere mulighed for lateral bevægelse inden for bilens systemer.
Reelle Risici
PerfektBlue Bluetooth-sårbarheder påvirker millioner af enheder, herunder køretøjer og andre produkter, der bruger BlueSDK.
Angrebene begrænses typisk af flere faktorer:
- Angriberen skal være inden for 5 til 7 meter af køretøjet.
- Bilens tænding skal være tændt.
- Infotainmentsystemet skal være i parringstilstand.
- Brugeren skal godkende Bluetooth-adgang.
Selv med disse begrænsninger kan angribere opretholde adgangen, så længe de forbliver inden for rækkevidde.
Volkswagen bekræftede disse betingelser og understregede, at angribere ikke kan få adgang til sikkerhedskritiske systemer som bremser og styring.
Bilproducenternes Respons
Volkswagen, Mercedes-Benz og Skoda blev alle informeret om PerfektBlue Bluetooth-sårbarhederne.
PCA Cyber Security oplyser, at de gav leverandørerne rigelig tid til at implementere løsninger.
Kommunikationen fra disse bilproducenter har dog i nogle tilfælde været begrænset eller fraværende.
Volkswagen bekræftede, at de undersøger problemerne og arbejder på mulige løsninger.
Virksomheden forsikrede offentligheden om, at centrale bilfunktioner forbliver beskyttet.
Større Konsekvenser og Fremtidig Offentliggørelse
Den reelle udfordring er den omfattende brug af OpenSynergys BlueSDK på tværs af brancher.
På grund af tilpasninger og manglende gennemsigtighed er det uklart, hvor mange produkter der stadig er udsat.
PCA Cyber Security identificerede en fjerde stor producent, der er berørt af PerfektBlue.
PCA Cyber Security vil dele detaljer om denne virksomhed og fuld teknisk information i november 2025.
Konklusion
PerfektBlue Bluetooth-sårbarhederne viser de stigende cybersikkerhedsrisici i moderne køretøjer.
Hackere kan udnytte disse fejl til at krænke privatlivets fred og kompromittere bilsystemer.
Selvom patches eksisterer, efterlader forsinkelser i implementeringen millioner i fare.
Teknologileverandører og bilproducenter må hurtigst muligt styrke samarbejdet for at beskytte brugerne.
0 svar til “PerfektBlue Bluetooth-sårbarheder udsætter millioner af køretøjer for fjernhacking”