پژوهشگران امنیتی چهار آسیبپذیری خطرناک را در نرمافزار «Blue SDK»، پروتکلی که در میلیونها دستگاه مجهز به بلوتوث از جمله خودروها مورد استفاده قرار میگیرد شناسایی کردهاند. این مجموعه آسیبپذیریها که به نام «PerfektBlue» نامگذاری شده، امکان اجرای کد مخرب از راه دور را تنها با یک کلیک فراهم میسازد.
شرکت OpenSynergy، توسعهدهنده این فناوری اعلام کرده Blue SDK تاکنون در ۳۵۰ میلیون خودرو و بیش از یک میلیارد دستگاه (از جمله در حوزههای مصرفی، صنعتی، پزشکی و موبایل) به کار رفته است. خودروهای برندهایی چون مرسدس بنز، فولکس واگن و اشکودا از جمله اهداف بالقوه این نقص امنیتی هستند.
چهار آسیبپذیری شناساییشده با کد CVE-2024-45431 تا CVE-2024-45434 ثبت شدهاند. شدت آسیبپذیریها از «کم» (امتیاز ۳.۵) تا «بالا» (امتیاز ۸.۰) متغیر است. البته برای بهرهبرداری از آنها، مهاجم باید در فاصلهای نزدیک (۵ تا ۱۰ متر) از هدف قرار داشته باشد و در برخی خودروها نیز کاربر باید فرایند اتصال بلوتوث را تایید کند.
هرچند شرکت فولکس واگن مدعی است بهرهگیری از این آسیبپذیری نیاز به شرایط خاصی دارد اما کارشناسان شرکت PCA Cyber Security میگویند در برخی مدلها مانند Volkswagen ID.4 و Skoda Superb امکان شروع فرآیند اتصال بدون دخالت کاربر وجود دارد. به گفته میخائیل افدوکیموف، محقق ارشد PCA، در این خودروها سیستم مربوطه حتی بدون روشن کردن خودرو فعال میشود.
خطرات ناشی از این آسیبپذیری تنها به سطح اطلاعاتی محدود نمیشود. بر اساس گزارش منتشرشده، مهاجمان قادرند مکانیابی خودرو، ضبط صدای داخل کابین، و حتی دسترسی به مخاطبین تلفن کاربر را بهدست آورند. در بدترین حالت، دسترسی اولیه میتواند مسیر نفوذ به سیستمهای حیاتی خودرو را باز کند.
هرچند فولکس واگن تاکید دارد لایههای امنیتی داخلی مانع نفوذ به کنترل فرمان یا ترمز میشوند اما محققان هشدار دادهاند اجرای کد از طریق PerfektBlue میتواند در صورت پیادهسازی نادرست، به تهدیدی جدی برای زیرساخت درونخودرویی تبدیل شود.
شرکت OpenSynergy اعلام کرده وصله امنیتی لازم در سپتامبر ۲۰۲۴ برای مشتریان ارسال شده اما برخی تولیدکنندگان همچنان بیخبر ماندهاند. کارشناسان امنیتی با اشاره به پیچیدگی زنجیره تامین خودروها و نبود شفافیت در ارائه فهرست نرمافزارها (SBOM)، احتمال تاخیر در دریافت و نصب وصلهها را بسیار بالا میدانند.
این نقص امنیتی نهتنها ضعفهای امنیتی اکوسیستم اینترنت اشیا را آشکار میکند، بلکه بار دیگر بر ضرورت شفافسازی در زنجیره تامین نرمافزارهای حیاتی تاکید دارد.
توضیحات بیشتر: