Mercedes, Volkswagen en meer: miljoenen auto’s kwetsbaar voor hack via bluetooth
In totaal gaat het om vier kwetsbaarheden in BlueSDK, de bluetooth-stack van OpenSynergy die in verschillende infotainmentsystemen wordt gebruikt. De kwetsbaarheden werden blootgelegd in een onderzoek van PCA Cyber Security en worden als aanvalsketen gebundeld onder de noemer “PerfektBlue”.
Met deze exploit kunnen aanvallers van op enkele meters afstand aanvallen uitvoeren op voertuigen van onder meer Mercedes-Benz, Volkswagen en Škoda. Er zou nog een vierde merk getroffen zijn ook, maar daarvan werd de naam nog niet bevestigd.
Hack van op enkele meters afstand, maar risico beperkt
De vier kwetsbaarheden (CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 en CVE-2024-45432) maken het voor aanvallers mogelijk om van op afstand malafide code uit te voeren op het infotainmentsysteem. Via die hack kunnen ze dan bijvoorbeeld GPS-data uitlezen, gesprekken opnemen en het telefoonboek kopiëren.
Voor meer kritieke elementen van de auto, zoals de rijfuncties, is het risico in principe beperkt. Veel autofabrikanten hebben die systemen immers van een aparte beveiliging voorzien. Dat is alvast het geval Volkswagen, zo laat het bedrijf weten in een reactie. Binnendringen in het infotainmentsysteem betekent dus niet dat meteen heel de auto overgenomen kan worden, maar desondanks is het een kwetsbaarheid die je liever niet hebt. Afhankelijk van de exacte beveiliging kan de exploit immers alsnog toegang verschaffen tot bredere controlesystemen van de wagen, waaronder de motor.
Het blijft dus een gevaarlijk lek, al kan een hack enkel succesvol uitgevoerd worden wanneer in de praktijk specifieke voorwaarden vervuld zijn. Zo moet de aanvaller zich binnen het bluetooth-bereik van de auto bevinden, wat meestal een straal van 5 tot 7 meter inhoudt. Het contact moet aan staan en de pairing-modus moet actief zijn. Ook moet het externe toestel van de hacker door de bestuurder of alleszins het infotainmentsysteem goedgekeurd worden. Soms doet het systeem dat automatisch, wat het risico op misbruik vergroot. Al deze voorwaarden zorgen er echter voor dat de exploit voor hackers in de praktijk niet zo makkelijk uit te buiten is, wat het risico dan weer beperkt.
Lek gedicht, maar fabrikanten blijven achter
Bij OpenSynergy hebben ze de fouten in september 2024 al gecorrigeerd, maar de onthulling ervan werd uitgesteld om autofabrikanten de tijd te geven een oplossing door te voeren, bijvoorbeeld via een over-the-air-update.
Die fix lijkt er in veel gevallen echter nog niet te zijn of nog niet breed te zijn uitgerold, waardoor wereldwijd potentieel nog miljoenen auto’s kwetsbaar rondrijden. Enkel bij Volkswagen werd bevestigd dat ze ermee bezig zijn, maar daar wordt ook benadrukt dat het risico beperkt is. Hoe dan ook wordt aangeraden om nieuwe updates zo snel mogelijk te installeren. In sommige gevallen is daarvoor wel een bezoekje aan de garage nodig.
