EN
 

یک آسیب‌پذیری بلوتوث ۳۵۰ میلیون خودرو و یک میلیارد دستگاه را در معرض خطر قرار داده است

  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۲۵ تیر ۱۴۰۴

پژوهشگران امنیتی چهار آسیب‌پذیری خطرناک را در نرم‌افزار «Blue SDK»، پروتکلی که در میلیون‌ها دستگاه مجهز به بلوتوث از جمله خودروها مورد استفاده قرار می‌گیرد شناسایی کرده‌اند. این مجموعه آسیب‌پذیری‌ها که به نام «PerfektBlue» نام‌گذاری شده، امکان اجرای کد مخرب از راه دور را تنها با یک کلیک فراهم می‌سازد.

شرکت OpenSynergy، توسعه‌دهنده این فناوری اعلام کرده Blue SDK تاکنون در ۳۵۰ میلیون خودرو و بیش از یک میلیارد دستگاه (از جمله در حوزه‌های مصرفی، صنعتی، پزشکی و موبایل) به کار رفته است. خودروهای برندهایی چون مرسدس بنز، فولکس واگن و اشکودا از جمله اهداف بالقوه این نقص امنیتی هستند.

چهار آسیب‌پذیری شناسایی‌شده با کد CVE-2024-45431 تا CVE-2024-45434 ثبت شده‌اند. شدت آسیب‌پذیری‌ها از «کم» (امتیاز ۳.۵) تا «بالا» (امتیاز ۸.۰) متغیر است. البته برای بهره‌برداری از آن‌ها، مهاجم باید در فاصله‌ای نزدیک (۵ تا ۱۰ متر) از هدف قرار داشته باشد و در برخی خودروها نیز کاربر باید فرایند اتصال بلوتوث را تایید کند.

هرچند شرکت فولکس واگن مدعی است بهره‌گیری از این آسیب‌پذیری نیاز به شرایط خاصی دارد اما کارشناسان شرکت PCA Cyber Security می‌گویند در برخی مدل‌ها مانند Volkswagen ID.4 و Skoda Superb امکان شروع فرآیند اتصال بدون دخالت کاربر وجود دارد. به گفته میخائیل افدوکیموف، محقق ارشد PCA، در این خودروها سیستم مربوطه حتی بدون روشن کردن خودرو فعال می‌شود.

خطرات ناشی از این آسیب‌پذیری تنها به سطح اطلاعاتی محدود نمی‌شود. بر اساس گزارش منتشرشده، مهاجمان قادرند مکان‌یابی خودرو، ضبط صدای داخل کابین، و حتی دسترسی به مخاطبین تلفن کاربر را به‌دست آورند. در بدترین حالت، دسترسی اولیه می‌تواند مسیر نفوذ به سیستم‌های حیاتی خودرو را باز کند.

هرچند فولکس واگن تاکید دارد لایه‌های امنیتی داخلی مانع نفوذ به کنترل فرمان یا ترمز می‌شوند اما محققان هشدار داده‌اند اجرای کد از طریق PerfektBlue می‌تواند در صورت پیاده‌سازی نادرست، به تهدیدی جدی برای زیرساخت درون‌خودرویی تبدیل شود.

شرکت OpenSynergy اعلام کرده وصله امنیتی لازم در سپتامبر ۲۰۲۴ برای مشتریان ارسال شده اما برخی تولیدکنندگان همچنان بی‌خبر مانده‌اند. کارشناسان امنیتی با اشاره به پیچیدگی زنجیره تامین خودروها و نبود شفافیت در ارائه فهرست نرم‌افزارها (SBOM)، احتمال تاخیر در دریافت و نصب وصله‌ها را بسیار بالا می‌دانند.

این نقص امنیتی نه‌تنها ضعف‌های امنیتی اکوسیستم اینترنت اشیا را آشکار می‌کند، بلکه بار دیگر بر ضرورت شفاف‌سازی در زنجیره تامین نرم‌افزارهای حیاتی تاکید دارد.

توضیحات بیشتر:

350M Cars, 1B Devices Exposed to 1-Click Bluetooth RCE

آسیب‌پذیری

به اشتراک بگذارید

بازگشت به بالا

افشای کلیدهای رمز لاراول صدها وب‌سایت را در معرض حمله قرار داد