Falhas Bluetooth afectam carros da Mercedes, Volkswagen e Skoda

Novas falhas descobertas em sistemas Bluetooth podem deixar em risco automóveis de diversas fabricantes, incluindo a Mercedes, Volkswagen e Skoda.

Foram descobertas quatro vulnerabilidades graves no BlueSDK, uma biblioteca Bluetooth desenvolvida pela OpenSynergy e usada em veículos de várias marcas, incluindo a Mercedes-Benz, Volkswagen e Skoda. Baptizadas de PerfektBlue, estas falhas podem permitir a execução de código nos sistemas de infotainment dos automóveis, com um simples clique do utilizador, e abrem a porta a acessos não autorizados a componentes internos dos veículos.

A OpenSynergy corrigiu as falhas em Setembro de 2024, após ter sido alertada em Maio pela empresa de cibersegurança PCA, mas muitos fabricantes ainda não disponibilizaram as actualizações de firmware com as devidas correcções. O ataque, que pode ser feito via Bluetooth a uma distância de até sete metros, permite aos hackers aceder a dados como a localização GPS, contactos, ou até ouvir conversas dentro do carro. Em demonstrações, os investigadores conseguiram obter controlo sobre sistemas de infotainment de modelos populares da Volkswagen, Mercedes, e Skoda.

A vulnerabilidade mais grave, identificada como CVE-2024-45434, afecta o serviço AVRCP usado para controlo de media via Bluetooth. As restantes envolvem falhas na validação de canais e gestão de parâmetros em protocolos de comunicação, permitindo obter privilégios mais elevados, e a possibilidade de afectar outros componentes dentro do sistema. Apesar da gravidade, as marcas não deram respostas públicas consistentes, optando pela prática habitual de pouco ou nada fazerem a não ser que a situação se torne suficientemente mediática e fiquem sujeitos à pressão pública.

Por outro lado, também é certo que o risco efectivo é reduzido, já que o ataque só é possível se o utilizador activar o modo de emparelhamento Bluetooth e aceitar a ligação de um dispositivo malicioso, o que será pouco provável de acontecer num cenário real.