Scoperte quattro vulnerabilità critiche nel sistema BlueSDK. Possibile esecuzione di codice da remoto nei sistemi infotainment di Mercedes-Benz, Volkswagen, Skoda e altri marchi.

Un nuovo allarme si diffonde nel settore dell’automotive con la scoperta di PerfektBlue, una catena di vulnerabilità individuate nella Bluetooth stack BlueSDK di OpenSynergy. Il problema interessa milioni di veicoli, e potrebbe consentire a un attaccante remoto di ottenere il controllo del sistema di infotainment – e potenzialmente di componenti ancora più critici.

A lanciare l’allarme è PCA Cyber Security, che ha individuato quattro falle che, combinate, permettono l’esecuzione di codice da remoto (RCE). I veicoli colpiti appartengono almeno a tre case automobilistiche: Mercedes-Benz, Volkswagen, Skoda, oltre a un quarto produttore non ancora identificato pubblicamente.

Una minaccia che arriva da vicino

Il requisito per l’attacco è semplice quanto preoccupante: il malintenzionato deve trovarsi entro 5-7 metri dal veicolo, ed essere in grado di avviare un collegamento Bluetooth con l’infotainment. In pratica, si tratta di un attacco “one-click” che sfrutta l’accoppiamento del dispositivo, con comportamenti che possono variare a seconda dell’implementazione del produttore.

Le vulnerabilità identificate sono:

  • CVE-2024-45434 – Use-After-Free nel servizio AVRCP (CVSS 8.0)
  • CVE-2024-45431 – Validazione impropria del CID remoto L2CAP (CVSS 3.5)
  • CVE-2024-45433 – Terminazione errata di una funzione in RFCOMM (CVSS 5.7)
  • CVE-2024-45432 – Chiamata a funzione con parametro errato in RFCOMM (CVSS 5.7)

Una volta ottenuto l’accesso al sistema di infotainment, è possibile per un attaccante intercettare dati GPS, registrare audio, consultare la rubrica e, nei casi peggiori, spostarsi lateralmente verso altri componenti del veicolo, come il bus CAN, potenzialmente influenzando funzioni critiche come chiusura delle porte, tergicristalli, specchietti e altro.

 

Le rassicurazioni di Volkswagen

In una nota ufficiale, Volkswagen ha precisato che le vulnerabilità interessano esclusivamente il sistema di infotainment, e che non vi è alcun rischio per le funzioni di guida, freni o motore. Tuttavia, ha confermato che:

  • È possibile connettersi senza autorizzazione se il sistema è in modalità pairing
  • L’attacco è possibile solo a veicolo acceso
  • È necessario che l’utente approvi la connessione Bluetooth

Il gruppo automobilistico ha avviato un programma di aggiornamenti software correttivi, alcuni dei quali richiederanno la visita in officina.

Un rischio sistemico

L’attacco PerfektBlue dimostra quanto possa essere fragile l’equilibrio tra connettività e sicurezza nei veicoli moderni. Sebbene i sistemi infotainment siano teoricamente separati da quelli di controllo veicolo, in pratica l’architettura interna varia da modello a modello, e una cattiva segmentazione può esporre a rischi maggiori.

Già in passato, vulnerabilità simili avevano consentito a ricercatori di prendere il controllo completo di un’auto elettrica, dimostrando come l’accesso remoto possa trasformarsi in un attacco a componenti vitali.

Cosa fare per proteggersi

In attesa dei fix ufficiali, gli esperti consigliano:

  • Disattivare il Bluetooth quando non necessario
  • Accettare il pairing solo da dispositivi riconosciuti
  • Verificare sempre i codici mostrati durante l’associazione
  • Aggiornare il software del veicolo non appena disponibile

Conclusioni

PerfektBlue non è solo un problema di infotainment: è una porta d’ingresso verso tutto ciò che rende un veicolo moderno connesso e potenzialmente vulnerabile. In un’epoca in cui l’auto è sempre più una rete su ruote, la sicurezza informatica diventa una priorità assoluta per case automobilistiche, utenti e istituzioni.

 

Dodecà Casoria