Pesquisadores de cibersegurança descobriram quatro falhas críticas no BlueSDK, pilha Bluetooth desenvolvida pela OpenSynergy, que podem permitir a execução remota de código (RCE) em milhões de veículos de diferentes montadoras. Batizadas de PerfektBlue, as vulnerabilidades afetam pelo menos Mercedes-Benz, Volkswagen, Skoda e um quarto fabricante não revelado. As falhas envolvem corrupção de memória e problemas lógicos que, quando explorados em cadeia, possibilitam ao invasor acessar o sistema de infotainment (IVI) do carro. A partir daí, é possível rastrear GPS, gravar áudio, acessar contatos e até se movimentar lateralmente para sistemas críticos, com potencial de assumir o controle de funções como motor e travas.
O ataque exige apenas que o hacker esteja dentro do alcance do Bluetooth e consiga parear com o IVI do veículo, podendo ser realizado com um único clique. No entanto, a eficácia depende da implementação do BlueSDK, que varia entre fabricantes. Em alguns casos, o pareamento pode ser limitado ou exigir interação do usuário, enquanto em outros pode estar totalmente desativado. As vulnerabilidades identificadas incluem falhas como uso de memória após liberação, validação inadequada de canais e chamadas de funções com parâmetros incorretos.
Após divulgação responsável em maio de 2024, as correções foram liberadas em setembro do mesmo ano. Contudo, a separação entre o IVI e sistemas críticos varia conforme o projeto de cada fabricante, deixando alguns veículos mais expostos. Especialistas alertam que, mesmo com patches, o histórico recente mostra como vulnerabilidades no Bluetooth podem abrir caminho para comprometer o barramento CAN, responsável por controles essenciais como direção, travas e freios. Em uma demonstração anterior, pesquisadores conseguiram invadir remotamente um Nissan Leaf, estabelecer comunicação persistente e controlar funções críticas ao explorar falhas semelhantes.
