PerfektBlue: vulnerabilità Bluetooth minacciano milioni di veicoli e dispositivi industriali

C’è un problema di sicurezza che, probabilmente complice il periodo estivo, è passato sostanzialmente sotto silenzio. Quattro vulnerabilità critiche individuate nello stack Bluetooth BlueSDK, sviluppato da OpenSynergy e ampiamente integrato nei sistemi IVI (In-Vehicle Infotainment) di molte case automobilistiche, sono state scoperte dai tecnici di PCA Cyber Security e raggruppate sotto il nome di PerfektBlue. Gli exploit, combinabili tra loro, permettono l’esecuzione di codice remoto (RCE) con una semplice interazione da parte dell’utente e potrebbero consentire l’accesso a componenti sensibili del veicolo. I produttori coinvolti includono nomi di primo piano come Mercedes-Benz, Volkswagen e Skoda.

Una minaccia silenziosa nel cuore dell’infotainment

OpenSynergy ha confermato le falle addirittura a giugno 2024 e ha distribuito le patch ai suoi clienti a settembre. Tuttavia, la loro adozione da parte dei prodittori è risultata lenta e disomogenea. Basti pensare che un costruttore ha scoperto i rischi solo di recente, segno di una catena di comunicazione ancora opaca e inefficiente nel settore automotive.

Secondo PCA Cyber Security, team esperto in sicurezza automobilistica e vincitore di competizioni come Pwn2Own Automotive, PerfektBlue affligge milioni di dispositivi nel settore automobilistico e in altri comparti industriali. I ricercatori sono riusciti a individuare le vulnerabilità analizzando un file binario parte integrante del software, senza accesso al codice sorgente.

Le vulnerabilità identificate

Le quattro lacune di sicurezza individuate sono valutate con differenti gradi di gravità. Tutte sono però potenzialmente concatenabili in un attacco:

• CVE-2024-45434 (Alta gravità) – Use-after-free nel servizio AVRCP, che consente il controllo remoto dei dispositivi media via Bluetooth.
• CVE-2024-45431 (Bassa gravità) – Validazione errata dell’identificatore remoto del canale L2CAP (Logical Link Control and Adaptation Protocol).
• CVE-2024-45433 (Media gravità) – Terminazione impropria di una funzione nel protocollo RFCOMM.
• CVE-2024-45432 (Media gravità) – Chiamata a funzione con parametro errato nel protocollo RFCOMM.

Sebbene i dettagli tecnici completi non siano ancora pubblici, PCA afferma che un attaccante potrebbe ottenere privilegi elevati, manipolare il sistema e spostarsi lateralmente verso altri sottosistemi del veicolo.

Attacchi dimostrati su vetture Volkswagen, Mercedes e Skoda

Le dimostrazioni condotte da PCA Cyber Security su Volkswagen ID.4 (sistema ICAS3), Mercedes-Benz NTG6 e Skoda Superb (MIB3) hanno permesso ai ricercatori di ottenere una shell inversa tramite TCP/IP sui moduli IVI, simulando un attacco realistico che consentirebbe:

• Tracciamento delle coordinate GPS del veicolo
• Intercettazione di conversazioni in auto
• Accesso alla rubrica telefonica dell’utente
• Potenziale accesso a reti interne e sottosistemi secondari

Tutto ciò, in alcuni scenari, con una sola azione dell’utente o addirittura senza alcuna conferma se l’infotainment fosse configurato per il pairing automatico.

Nell’immagine in apertura (fonte: PCA Cyber Security), si vede come una shell inversa permetta di assumere il controllo del sistema IVI dell’auto e di accedervi tramite TCP/IP. Nell’esempio, il ricercatore assume il controllo con Netcat (comando nc). In risposta si legge il numero di versione di Linux installata sul veicolo.

Condizioni e limiti dello sfruttamento

Volkswagen, rispondendo a un’intervista, ha sottolineato che affinché l’attacco sia fattibile è necessario che:

• L’attaccante si trovi entro 5-7 metri dal veicolo.
• Il veicolo sia acceso.
• Il sistema IVI sia in modalità pairing.
• L’utente approvi il pairing sul display.

Anche in caso di attacco riuscito, la casa automobilistica tedesca ha precisato che i sistemi critici come sterzo, motore e freni non sono accessibili, in quanto separati e protetti da unità di controllo autonome. Tuttavia, questo non riduce l’impatto della compromissione di un modulo IVI, soprattutto considerando che oggi tali moduli sono sempre più interconnessi alla rete interna del veicolo.

Diffusione e rischio sistemico

La diffusione reale del pacchetto BlueSDK resta difficile da quantificare, a causa della personalizzazione e del rebranding del software embedded da parte dei singoli costruttori.

La stessa OpenSynergy ha dichiarato di non poter rivelare quali case automobilistiche siano coinvolte a causa di accordi di non divulgazione (NDA), ma di essere al lavoro con i partner per fornire patch mirate.

Mercedes-Benz ha confermato di aver ricevuto la segnalazione a novembre 2024 e di aver già distribuito l’aggiornamento BlueSDK via OTA (Over-The-Air): i clienti sono quindi invitati ad aggiornare prima possibile il software del proprio veicolo.

Conferenza e disclosure completa attesa a novembre 2025

PCA fa presente che un quarto produttore, ancora non rivelato, è anch’esso vulnerabile agli attacchi PerfektBlue. Gli esperti hanno deciso di posticipare la divulgazione pubblica del nome e dei dettagli tecnici completi a novembre prossimo, nel contesto di una conferenza dedicata.

Il caso PerfektBlue sottolinea ancora una volta la fragilità delle supply chain software in ambito automotive: l’integrazione di componenti terzi e la mancanza di visibilità interna possono comportare rischi per la sicurezza.