Výskumníci v oblasti kybernetickej bezpečnosti odhalili vážne zraniteľnosti v Bluetooth komunikačnom systéme, ktoré môžu umožniť útočníkom vzdialene ovládnuť multimediálne jednotky vo vozidlách. Ohrozené sú modely značiek Mercedes-Benz, Volkswagen a Škoda. Zraniteľnosti nesú spoločné označenie PerfektBlue a vychádzajú zo slabín v softvéri BlueSDK od spoločnosti OpenSynergy.
Bezpečnostná firma PCA Cyber Security, ktorá sa špecializuje na testovanie automobilovej elektroniky, objavila celkovo štyri zraniteľnosti. Ich kombináciou dokáže útočník cez Bluetooth získať vzdialený prístup ku kritickým súčastiam infotainment systému a potenciálne aj ďalej – hlbšie do vozidlového systému. Informuje portále bleepingcomputer.
Spoločnosť OpenSynergy, stojaca za výrobou modulov chyby oficiálne uznala v júni 2024 a o tri mesiace neskôr poskytla opravy svojim klientom. Mnohí výrobcovia áut však tieto opravy ešte do vozidiel nezaviedli. Jeden z veľkých výrobcov sa o probléme dozvedel až nedávno.
„Zraniteľnosti sa dajú využiť cez bezdrôtový prenos a často si vyžadujú maximálne jedno kliknutie zo strany používateľa,“ uviedli výskumníci z PCA.
Ako veľké je riziko?
BlueSDK od OpenSynergy sa využíva v širokom spektre vozidiel, no kvôli rôznorodej implementácii a nedostatočnej transparentnosti nie je jednoduché zistiť, ktoré modely sú konkrétne postihnuté.
Podľa PCA ide o milióny zariadení v automobilovom aj inom priemysle, zatiaľ demonštrovala útoky na:
- Volkswagen ID.4 s infotainmentom ICAS3,
- Mercedes-Benz s NTG6,
- Škodu Superb s jednotkou MIB3.
V každom prípade sa výskumníkom podarilo získať tzv. reverse shell, teda priamy prístup do systému cez TCP/IP protokol – rovnaký, aký používajú komponenty na komunikáciu medzi sebou.
To by potenciálne umožnilo útočníkovi:
- sledovať GPS polohu vozidla,
- odpočúvať rozhovory v kabíne,
- čítať kontakty zo spárovaného telefónu,
- prípadne preniknúť aj do ďalších systémov.
Útok PerfektBlue sa dá klasifikovať ako „1-click RCE“ (vzdialené spustenie kódu na základe jedného kliknutia), keďže vo väčšine prípadov stačí, aby používateľ potvrdil párovanie so zariadením útočníka. Niektorí výrobcovia však konfigurujú infotainment tak, aby sa párovanie aktivovalo automaticky – bez potvrdenia.
Reakcia výrobcov: nejednoznačná
PCA informovala výrobcov Volkswagen, Mercedes-Benz a Škoda o zraniteľnostiach a poskytla im čas na opravu. Reakcia však neprišla. Redakcia BleepingComputer následne oslovila výrobcov priamo.
Volkswagen uviedol, že problém začal preverovať okamžite po oboznámení. Potvrdil, že za určitých podmienok je možné bez autorizácie spojiť sa cez Bluetooth s vozidlom.
Podmienky, ktoré musia nastať:
- útočník musí byť vo vzdialenosti max. 5 – 7 metrov
- vozidlo musí byť zapnuté
- Bluetooth musí byť v režime párovania
- používateľ musí potvrdiť pripojenie externého zariadenia.
Zároveň zdôraznil, že aj v prípade úspešného útoku nie je možné ovládať kritické funkcie ako riadenie, brzdy či motor, pretože sú umiestnené na samostatných a zabezpečených riadiacich jednotkách.
Mercedes-Benz reagoval s oneskorením, no potvrdil, že bol kontaktovaný výskumníkmi v novembri 2024 a prijal všetky potrebné opatrenia. Oprava BlueSDK je podľa ich vyjadrenia dostupná prostredníctvom bezdrôtovej aktualizácie.
Škoda sa k veci verejne nevyjadrila.
Výskumníci z PCA v júni 2025 potvrdili výskyt PerfektBlue aj u štvrtého automobilového výrobcu, ktorý však nebol informovaný zo strany OpenSynergy. Názov značky zatiaľ neuviedli, keďže jej nedali dostatok času na reakciu.
Plánujú ju zverejniť spolu s detailmi útoku v novembri 2025 na konferencii, kde predstavia aj technickú analýzu celej zraniteľnosti.
OpenSynergy: viazaní mlčanlivosťou
OpenSynergy na otázky o počte postihnutých zákazníkov odpovedalo, že kvôli dohodám o mlčanlivosti (NDA) nemôže prezradiť, ktoré automobilky alebo modely sú zasiahnuté. Dodalo však, že pracuje individuálne s výrobcami na zavedení opráv.
