随著车载资讯系统(In-Vehicle Infotainment,IVI)的功能越来越丰富,不仅能用于导航、多媒体娱乐、免持手机通话、车辆资讯检视、提供倒车影像、盲点侦测,甚至能调整车辆的部分配置,因此与这类平台有关的资安弱点,有越来越多资安人员投入研究,例如,厄瓜多安全研究人员Danilo Erazo专门关注汽车资安的渗透测试业者PCA Cyber Security指出,他们在去年5月发现OpenSynergy蓝牙堆叠平台BlueSDK一系列资安漏洞,攻击者有机会借此远端执行任意程式码,甚至存取车辆的重要元件,影响宾士(Mercedes-Benz)、福斯(Volkswagen)、Skoda等厂牌的汽车。这些漏洞OpenSynergy于去年6月确认,并于9月发布修补程式,不过,PCA Cyber Security提及并非所有的汽车制造商都取得相关通报及漏洞修补程式,因此仍有部分OEM车款存在相关弱点。
这些漏洞一共有4个,分别是:特定L2CAP频道不当验证漏洞CVE-2024-45431、RFCOMM不正确参数的功能呼叫漏洞CVE-2024-45432、RFCOMM不正确功能终止漏洞CVE-2024-45433,AVRCP记忆体释放后再存取利用(Use-After-Free)漏洞CVE-2024-45434,CVSS风险介于3.5至8.0分,PCA Cyber Security将它们统称为PerfektBlue。
虽然PerfektBlue仅有CVE-2024-45434被评为重大层级,但PCA Cyber Security指出,这些漏洞可被串连,发动一键远端程式码执行攻击,攻击者有机会操控特定系统、提升权限,并横向移动到车载资讯系统的其他元件。而这项漏洞利用攻击存在唯一条件,那就是攻击者必须与目标装置成功置对。
一旦攻击者能在车载资讯系统执行任意程式码,他们就有机会追踪GPS定位、录制车内声音、截取通讯录内容,或是有机会横向移动到其他电子控制元件(Electronic Control Unit,ECU),存取车辆的重要功能。
值得留意的是,虽然BlueSDK主要用于汽车产业,但也有手机或是携带式装置采用,因此这些漏洞的影响范围,并不局限于车载资讯系统。