Falhas críticas expõem milhões de veículos a ataques remotos via Bluetooth

Pesquisadores de segurança identificaram quatro vulnerabilidades críticas — CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 e CVE-2024-45433 — no BlueSDK, da OpenSynergy, um conjunto de ferramentas Bluetooth amplamente utilizado em sistemas embarcados, especialmente no setor automotivo.

As falhas foram exploradas em um ataque batizado de PerfektBlue, que permite a invasão remota do sistema de infoentretenimento de um veículo. A partir dessa brecha, é possível rastrear a localização do carro, gravar áudio no interior do veículo e acessar a agenda telefônica da vítima. A demonstração do ataque foi realizada com sucesso em modelos recentes de sistemas de infoentretenimento utilizados por montadoras como Mercedes-Benz e Volkswagen.

Para a execução do ataque, o invasor precisa estar dentro do alcance do sinal Bluetooth e emparelhar um notebook com o sistema do veículo. Em alguns casos, esse emparelhamento pode ocorrer automaticamente, sem interação do usuário. Em outros, é necessário que a vítima aceite o emparelhamento, embora os pesquisadores ressaltem que o ataque pode ser realizado com, no máximo, um clique do usuário.

As correções começaram a ser distribuídas aos clientes do BlueSDK em setembro de 2024. No entanto, diversos fabricantes — incluindo um OEM não identificado — relataram, já em meados de 2025, que nunca receberam as atualizações de segurança necessárias. A divulgação pública das vulnerabilidades ocorreu apenas em 7 de julho de 2025, após evidências de que muitos sistemas ainda permaneciam desatualizados.

Recomenda-se que os usuários atualizem o firmware do sistema de infoentretenimento para a versão mais recente disponível.

Informações adicionais: CyberInsider