Le falle del Bluetooth PerfektBlue hanno un impatto sulle auto di Mercedes, Volkswagen e Skoda.

Le vulnerabilità interessano lo stack Bluetooth BlueSDK di OpenSynergy. Il loro sfruttamento permette agli attaccanti di ottenere l’esecuzione di codice da remoto e potenzialmente consentono l’accesso a elementi critici nei veicoli di diversi produttori.

“La scoperta delle vulnerabilità PerfektBlue nel Bluetooth stack BlueSDK di OpenSynergy rappresenta un campanello d’allarme per l’intera industria automobilistica“, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

Gli attacchi PerfektBlue

OpenSynergy ha confermato le falle l’anno scorso a giugno, rilasciando le patch ai clienti nel settembre 2024. Tuttavia molte case automobilistiche non hanno ancora provveduto a distribuire gli aggiornamenti del firmware correttivo. Almeno uno dei principali OEM è venuto a conoscenza dei rischi per la sicurezza solo di recente.

“Negli anni diversi gruppi di ricerca hanno messo a punto tecniche in grado di interferire con i sistemi presenti nelle auto di nuova generazione, ed in particolare alterare l’operato di alcune componenti”, spiega Paganini.

I problemi di sicurezza possono concatenarsi in un exploit che i ricercatori chiamano “attacco PerfektBlue”, trasmissibili over-the-air da un aggressore, richiedendo “al massimo un clic da parte dell’utente”.

Il team di PCA Cyber Security, un’azienda specializzata in sicurezza automobilistica, ha scoperto le vulnerabilità di PerfektBlue, segnalandole a OpenSynergy nel maggio 2024. Partecipano regolarmente alle competizioni Pwn2Own Automotive e dall’anno scorso hanno scoperto oltre 50 vulnerabilità nei sistemi automobilistici.

“I ricercatori di PCA Cyber Security hanno dimostrato come queste falle, se opportunamente sfruttate, possano consentire l’esecuzione di codice da remoto (RCE), compromettendo potenzialmente milioni di veicoli”, mette in guardia Paganini.

Secondo questi esperti, l’attacco PerfektBlue colpisce “milioni di dispositivi nel settore automobilistico e in altri settori”.

L’individuazione delle falle in BlueSDK è stata possibile analizzando un binario compilato del prodotto software, in assenza di accesso al codice sorgente.

Le 4 vulnerabilità PerfektBlue

Le falle hanno una gravità variabile da bassa ad alta e possono consentire l’accesso ai componenti interni dell’auto attraverso il sistema di infotainment:

• CVE-2024-45434 (gravità elevata): use-after-aree nel servizio AVRCP per il profilo Bluetooth che consente il controllo remoto dei dispositivi multimediali;
• CVE-2024-45431 (gravità bassa): convalida impropria dell’identificatore di canale remoto (CID) di un canale L2CAP (Logical Link Control and Adaptation Protocol);
• CVE-2024-45433 (gravità media): terminazione di funzione non corretta nel protocollo Radio Frequency Communication (RFCOMM);
• CVE-2024-45432 (gravità media): chiamata di funzione con parametro non corretto nel protocollo RFCOMM.

Ma “il rischio va ben oltre l’infotainment, che di fatto diviene la porta di accesso degli attaccanti: si parla di localizzazione dei veicoli, registrazione audio, accesso a dati personali e, in certi casi, possibili movimenti laterali degli attaccanti verso sistemi critici dei veicoli”, avverte Paganini.

I dettagli

I ricercatori non hanno condiviso i dettagli tecnici completi sullo sfruttamento delle vulnerabilità PerfektBlue, ma hanno affermato che un aggressore collegato al dispositivo interessato potrebbe sfruttarle per “manipolare il sistema, aumentare i privilegi ed eseguire movimenti laterali verso altri componenti del prodotto target”.

PCA Cyber Security ha dimostrato gli attacchi PerfektBlue alle unità principali di infotainment di Volkswagen ID.4 (sistema ICAS3), Mercedes-Benz (NTG6) e Skoda Superb (MIB3), ottenendo una shell inversa in cima al TCP/IP che consente la comunicazione tra dispositivi in rete, come i componenti di un’auto.

Inoltre, sostengono che, attraverso l’esecuzione di codice remoto sull’infotainment di bordo (IVI), un hacker potrebbe tracciare le coordinate GPS, ascoltare le conversazioni nell’auto, accedere ai contatti telefonici e potenzialmente spostarsi lateralmente verso sottosistemi più critici del veicolo.

Rischi ed esposizione agli attacchi PerfektBlue

Il BlueSDK di OpenSynergy è ampiamente utilizzato nell’industria automobilistica. tuttavia è difficile determinare quali fornitori vi si affidino a causa dei processi di personalizzazione e riconfezionamento, oltre alla mancanza di trasparenza riguardo ai componenti software incorporati in un’automobile.

PerfektBlue è principalmente un RCE con un solo clic perché il più delle volte richiede di ingannare l’utente per consentire l’accoppiamento con un dispositivo dell’aggressore. Però alcune case automobilistiche configurano i sistemi di infotainment in modo che si accoppino senza alcuna conferma.

“Le indagini hanno rivelato che, in determinate condizioni, è possibile connettersi al sistema di infotainment del veicolo tramite Bluetooth senza autorizzazione”, ha dichiarato un portavoce di Volkswagen.

Le condizioni di exploit delle falle

La casa automobilistica tedesca ha dichiarato che è possibile sfruttare le vulnerabilità solo se si verificano diverse condizioni contemporaneamente:

• l’aggressore si trova a una distanza massima di 5-7 metri dal veicolo;
• l’accensione del veicolo richiede l’inserimento;
• il sistema di infotainment deve essere in modalità di accoppiamento, cioè l’utente del veicolo deve abbinare attivamente un dispositivo Bluetooth;
• l’utente del veicolo deve approvare attivamente l’accesso Bluetooth esterno dell’aggressore sullo schermo.

Anche se queste condizioni si verificano e un aggressore si connette all’interfaccia Bluetooth, “deve rimanere a una distanza massima di 5-7 metri dal veicolo” per mantenere l’accesso, ha detto il rappresentante di Volkswagen.

Il fornitore ha sottolineato che, in caso di successo dell’exploit, un hacker non potrebbe interferire con le funzioni critiche del veicolo, come lo sterzo, l’assistenza alla guida, il motore o i freni. Infatti essi sono “su un’unità di controllo diversa, protetta da interferenze esterne grazie alle proprie funzioni di sicurezza”.

PCA Cyber Security ha dichiarato a BleepingComputer che il mese scorso ha confermato la presenza di PerfektBlue presso un quarto produttore OEM dell’industria automobilistica. Ha ammesso che OpenSynergy non li aveva informati dei problemi.

“Abbiamo deciso di non rivelare questo OEM perché non c’era abbastanza tempo per reagire”, ci hanno detto i ricercatori.

“Abbiamo in programma di divulgare i dettagli su questo OEM colpito e i dettagli tecnici completi di PerfektBlue nel novembre 2025, nel formato di una conferenza”.

Come mitigare il rischio

PCA Cyber Security ha dichiarato a BleepingComputer di aver informato Volkswagen, Mercedes-Benz e Skoda delle vulnerabilità e di aver dato loro tempo sufficiente per applicare le patch. Ma i ricercatori non hanno ricevuto alcuna risposta da parte dei produttori in merito alla risoluzione dei problemi.

BleepingComputer ha contattato le tre case automobilistiche chiedendo loro se hanno applicato le correzioni di OpenSynergy. Una dichiarazione di Mercedes non è stata immediatamente disponibile, mentre Volkswagen ha dichiarato di aver iniziato a indagare sull’impatto e sui modi per affrontare i rischi immediatamente dopo aver appreso i problemi.

“Lo scenario è inquietante, se pensiamo a come agenzie di intelligence o gruppi criminali possano sfruttare queste tecniche di attacco. Vista la diffusione di BlueSDK su marchi come Mercedes, Volkswagen e Skoda, è fondamentale aggiornare i sistemi e sensibilizzare l’intero settore”, evidenzia Paganini.

Tuttavia il nostro esperto conclude con una nota di ottimistimo: “L’industria automobilistica pare abbia compreso la criticità rappresentata dalle falle nei componenti presenti nei veicoli e ha sensibilmente aumentato gli investimenti in cyber sicurezza, ma soprattutto ha adottato da anni un approccio security by design per la tutela dei clienti“.

Altro aspetto positivo “è infine il coinvolgimento della comunità di white hat hacker mondiale per il testing dei veicoli, si moltiplicano iniziative di bug bounty program e hacking contest in cui si premiano esperti in grado di dimostrare vulnerabilità”, sottolinea Paganini.