Istraživači iz firme za sajber bezbednost i testiranje ranjivosti PCA Sajber Sekjuriti (ranije poznata kao PCAutomotive) otkrili su kritične bezbednosne propuste u široko korišćenom Bluetooth sistemu koji bi mogli omogućiti daljinsko hakovanje miliona automobila.
Analizom Bluetooth okvira BlueSDK, koji razvija kompanija OpenSynergy, tim je otkrio više ranjivosti, uključujući one koje omogućavaju daljinsko izvršavanje koda, zaobilaženje bezbednosnih mehanizama i curenje podataka.
Pokazali su kako se ove ranjivosti mogu kombinovati u napadu koji su nazvali PerfektBlu, kojim je moguće daljinsko hakovanje multimedijalnog sistema automobila. Tako napadač može da prati lokaciju vozila, snima zvuk iz kabine i pristupi imeniku žrtve.
Krije se istina od naroda! Došlo je vreme da čujete sve | Mario Zna | EP. 341
Napadač bi takođe potencijalno mogao da pređe na druge sisteme u vozilu i preuzme kontrolu nad funkcijama poput volana, sirene i brisača. Iako to još nije demonstrirano, ranija istraživanja su pokazala da je prelazak sa multimedijalnog sistema na kritične funkcije moguć.
PerfektBlu napad je uspešno demonstriran na novijim modelima multimedijalnih sistema u automobilima Mercedes-Benca, Škode i Folksvagena, kao i u uređajima još jednog neimenovanog proizvođača, koji je tek nedavno obavešten o otkriću.
🐝 Pčele kiborzi kreirani za savršenu špijunažu i rat: Kinesko tajno oružjehttps://t.co/j7IQ0lVjXq
— Nulta Tačka (@NultaTackaSrb) July 11, 2025
BlueSDK se nalazi u milionima uređaja – ne samo u automobilima, već i u mobilnim telefonima i drugim prenosivim uređajima velikih tehnoloških kompanija.
Da bi izveo napad, haker mora da se nađe u Bluetooth dometu i da uspe da upari svoj laptop sa ciljanim sistemom u automobilu. U nekim slučajevima, uparivanje ne zahteva nikakvu potvrdu korisnika, dok u drugim slučajevima može biti potrebna potvrda, ili pak uparivanje nije moguće.
„U suštini, za napad PerfektBlu dovoljan je najviše jedan klik korisnika da bi napadač izveo napad bežično,“ objasnio je PCA Sajber Sekjuriti.
Ranjivosti su prijavljene kompaniji OpenSynergy još u maju 2024. godine i dodeljene su im sledeće oznake: CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 i CVE-2024-45433.
Zakrpe su razvijene i počele su da se isporučuju klijentima od septembra 2024. godine, ali je PCA Sajber Sekjuriti čekao sa objavom do sada kako bi se osiguralo da su ispravke dovoljno rasprostranjene.
Ranije ove godine, ista firma je otkrila niz ranjivosti koje su omogućavale daljinsko hakovanje električnog automobila Nisan Lif, uključujući mogućnost špijuniranja i fizičkog preuzimanja kontrole nad više funkcija vozila.
