Cuatro vulnerabilidades críticas han sido identificadas en el sistema Bluetooth BlueSDK, utilizado en vehículos de marcas como Mercedes-Benz, Volkswagen y Skoda. Estas fallas permiten a atacantes remotos ejecutar código en millones de automóviles a nivel mundial, generando serias preocupaciones sobre la seguridad y la privacidad de los usuarios.
¡Precaución, amigo conductor!
Las vulnerabilidades, apodadas PerfektBlue por PCA Cyber Security, incluyen un fallo de uso indebido en el servicio AVRCP (CVE-2024-45434) y otros tres relacionados con la validación inadecuada en los protocolos L2CAP y RFCOMM, con una puntuación CVSS de 8.0, lo que indica su gravedad. Los investigadores encontraron que pueden encadenarse para permitir el acceso no autorizado a través de conexiones Bluetooth. Para ejecutar un ataque, el atacante necesita estar dentro del rango de Bluetooth y emparejarse con el sistema de infoentretenimiento del vehículo, un proceso que puede variar según el fabricante.
PCA Cyber Security demostró la explotación exitosa de estas vulnerabilidades en unidades de infoentretenimiento de cada uno de los fabricantes afectados. Sin embargo, la complejidad de las cadenas de suministro automotrices ha causado retrasos en la distribución de parches, que fueron enviados en septiembre de 2024. Algunos fabricantes aún no han recibido las actualizaciones necesarias, lo que podría prolongar la exposición a estos riesgos hasta junio de 2025. Esto llevó a los investigadores a hacer pública la información sobre las vulnerabilidades, aunque han decidido no revelar la identidad de un cuarto fabricante afectado.
La explotación exitosa podría dar acceso a sistemas críticos, como GPS, capacidades de grabación de audio e información de contacto. Aunque los sistemas de infoentretenimiento están diseñados con cierta separación de los controles del vehículo, la efectividad de esta separación varía según la arquitectura y los protocolos de seguridad de cada fabricante. Los enfoques efectivos de segmentación de red son cruciales para mitigar estos riesgos, que reflejan la creciente superficie de ataque en los vehículos conectados modernos.