Εκατομμύρια οχήματα είναι εκτεθειμένα στην επίθεση PerfektBlue
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Εκατομμύρια οχήματα είναι εκτεθειμένα στην επίθεση PerfektBlue
https://www.secnews.gr/653542/ekatommiria-oximata-einai-ektetheimena-epithesi-perfektblue/
Jul 10th 2025, 17:19
by Absenta Mia
Ερευνητές της εταιρείας ελέγχου ασφάλειας και ανάλυσης απειλών PCA Cyber Security (πρώην PCAutomotive) ανακάλυψαν κρίσιμες ευπάθειες σε ένα ευρέως χρησιμοποιούμενο πλαίσιο Bluetooth, οι οποίες θα μπορούσαν να αξιοποιηθούν για την απομακρυσμένη παραβίαση εκατομμυρίων οχημάτων μέσω της επίθεσης PerfektBlue.
Δείτε επίσης: Τέσσερα στελέχη της VW κρίθηκαν ένοχα για το σκάνδαλο Dieselgate
Οι ερευνητές ανέλυσαν το πλαίσιο Bluetooth BlueSDK, που έχει αναπτυχθεί από την OpenSynergy, και εντόπισαν διάφορες ευπάθειες, συμπεριλαμβανομένων εκείνων που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, παράκαμψη μηχανισμών ασφαλείας και διαρροές πληροφοριών.
Επιδεικνύοντας ορισμένα από αυτά τα κενά ασφαλείας, παρουσίασαν μια μορφή επίθεσης με την ονομασία PerfektBlue, μέσω της οποίας είναι δυνατή η απομακρυσμένη παραβίαση του συστήματος ψυχαγωγίας (infotainment) ενός αυτοκινήτου. Από εκεί, ο επιτιθέμενος μπορεί να εντοπίσει την τοποθεσία του οχήματος, να καταγράψει ήχο από το εσωτερικό και να αποκτήσει πρόσβαση σε δεδομένα του τηλεφωνικού καταλόγου του χρήστη.
Επιπλέον, ενδέχεται ο επιτιθέμενος να κινηθεί πλευρικά προς άλλα συστήματα του οχήματος και πιθανώς να αποκτήσει έλεγχο σε λειτουργίες όπως το τιμόνι, η κόρνα και οι υαλοκαθαριστήρες. Αν και αυτό δεν έχει ακόμα αποδειχθεί στην πράξη, προηγούμενες έρευνες έχουν δείξει ότι είναι τεχνικά εφικτό να μεταβεί ένας χάκερ από το σύστημα infotainment σε πιο κρίσιμα συστήματα του οχήματος.
Δείτε ακόμα: Παραβίαση οχήματος Volkswagen αποκάλυψε προσωπικά δεδομένα του ιδιοκτήτη
Η επίθεση PerfektBlue έχει επιδειχθεί σε πρόσφατα μοντέλα συστημάτων infotainment που χρησιμοποιούνται σε αυτοκίνητα των Mercedes-Benz, Skoda και Volkswagen, καθώς και σε προϊόντα ενός ακόμη, μη κατονομαζόμενου κατασκευαστή (OEM), ο οποίος ενημερώθηκε μόλις πρόσφατα για τα ευρήματα.
Το BlueSDK εντοπίζεται σε εκατομμύρια συσκευές. Η λίστα περιλαμβάνει όχι μόνο οχήματα, αλλά και κινητά τηλέφωνα και άλλες φορητές συσκευές, που κατασκευάζονται από δεκάδες μεγάλες τεχνολογικές εταιρείες.
Για να πραγματοποιήσει την επίθεση, ο χάκερ πρέπει να βρίσκεται εντός εμβέλειας και να μπορεί να ζευγοποιήσει το laptop του με το στοχευμένο σύστημα infotainment μέσω Bluetooth. Σε ορισμένες περιπτώσεις η σύζευξη μπορεί να γίνει χωρίς καμία αλληλεπίδραση από τον χρήστη, ενώ σε άλλες απαιτείται επιβεβαίωση ή ενδέχεται να μην είναι δυνατή καθόλου.
Οι ευπάθειες PerfektBlue αναφέρθηκαν στην OpenSynergy τον Μάιο του 2024 και τους αποδόθηκαν οι κωδικοί CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 και CVE-2024-45433.
Δείτε επίσης: Tesla: Διακόπτει προσωρινά τη δοκιμή του Full Self-Driving (FSD) στην Κίνα
Οι ενημερώσεις κώδικα (patches) δημιουργήθηκαν και διανεμήθηκαν στους πελάτες από τον Σεπτέμβριο του 2024, αλλά η PCA Cyber Security περίμενε μέχρι τώρα για να τις αποκαλύψει, ώστε να διασφαλίσει ότι οι διορθώσεις θα εφαρμοστούν ευρέως.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Εκατομμύρια οχήματα είναι εκτεθειμένα στην επίθεση PerfektBlue
https://www.secnews.gr/653542/ekatommiria-oximata-einai-ektetheimena-epithesi-perfektblue/
Jul 10th 2025, 17:19
by Absenta Mia
Ερευνητές της εταιρείας ελέγχου ασφάλειας και ανάλυσης απειλών PCA Cyber Security (πρώην PCAutomotive) ανακάλυψαν κρίσιμες ευπάθειες σε ένα ευρέως χρησιμοποιούμενο πλαίσιο Bluetooth, οι οποίες θα μπορούσαν να αξιοποιηθούν για την απομακρυσμένη παραβίαση εκατομμυρίων οχημάτων μέσω της επίθεσης PerfektBlue.
Δείτε επίσης: Τέσσερα στελέχη της VW κρίθηκαν ένοχα για το σκάνδαλο Dieselgate
Οι ερευνητές ανέλυσαν το πλαίσιο Bluetooth BlueSDK, που έχει αναπτυχθεί από την OpenSynergy, και εντόπισαν διάφορες ευπάθειες, συμπεριλαμβανομένων εκείνων που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, παράκαμψη μηχανισμών ασφαλείας και διαρροές πληροφοριών.
Επιδεικνύοντας ορισμένα από αυτά τα κενά ασφαλείας, παρουσίασαν μια μορφή επίθεσης με την ονομασία PerfektBlue, μέσω της οποίας είναι δυνατή η απομακρυσμένη παραβίαση του συστήματος ψυχαγωγίας (infotainment) ενός αυτοκινήτου. Από εκεί, ο επιτιθέμενος μπορεί να εντοπίσει την τοποθεσία του οχήματος, να καταγράψει ήχο από το εσωτερικό και να αποκτήσει πρόσβαση σε δεδομένα του τηλεφωνικού καταλόγου του χρήστη.
Επιπλέον, ενδέχεται ο επιτιθέμενος να κινηθεί πλευρικά προς άλλα συστήματα του οχήματος και πιθανώς να αποκτήσει έλεγχο σε λειτουργίες όπως το τιμόνι, η κόρνα και οι υαλοκαθαριστήρες. Αν και αυτό δεν έχει ακόμα αποδειχθεί στην πράξη, προηγούμενες έρευνες έχουν δείξει ότι είναι τεχνικά εφικτό να μεταβεί ένας χάκερ από το σύστημα infotainment σε πιο κρίσιμα συστήματα του οχήματος.
Δείτε ακόμα: Παραβίαση οχήματος Volkswagen αποκάλυψε προσωπικά δεδομένα του ιδιοκτήτη
Η επίθεση PerfektBlue έχει επιδειχθεί σε πρόσφατα μοντέλα συστημάτων infotainment που χρησιμοποιούνται σε αυτοκίνητα των Mercedes-Benz, Skoda και Volkswagen, καθώς και σε προϊόντα ενός ακόμη, μη κατονομαζόμενου κατασκευαστή (OEM), ο οποίος ενημερώθηκε μόλις πρόσφατα για τα ευρήματα.
Το BlueSDK εντοπίζεται σε εκατομμύρια συσκευές. Η λίστα περιλαμβάνει όχι μόνο οχήματα, αλλά και κινητά τηλέφωνα και άλλες φορητές συσκευές, που κατασκευάζονται από δεκάδες μεγάλες τεχνολογικές εταιρείες.
Για να πραγματοποιήσει την επίθεση, ο χάκερ πρέπει να βρίσκεται εντός εμβέλειας και να μπορεί να ζευγοποιήσει το laptop του με το στοχευμένο σύστημα infotainment μέσω Bluetooth. Σε ορισμένες περιπτώσεις η σύζευξη μπορεί να γίνει χωρίς καμία αλληλεπίδραση από τον χρήστη, ενώ σε άλλες απαιτείται επιβεβαίωση ή ενδέχεται να μην είναι δυνατή καθόλου.
Οι ευπάθειες PerfektBlue αναφέρθηκαν στην OpenSynergy τον Μάιο του 2024 και τους αποδόθηκαν οι κωδικοί CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 και CVE-2024-45433.
Δείτε επίσης: Tesla: Διακόπτει προσωρινά τη δοκιμή του Full Self-Driving (FSD) στην Κίνα
Οι ενημερώσεις κώδικα (patches) δημιουργήθηκαν και διανεμήθηκαν στους πελάτες από τον Σεπτέμβριο του 2024, αλλά η PCA Cyber Security περίμενε μέχρι τώρα για να τις αποκαλύψει, ώστε να διασφαλίσει ότι οι διορθώσεις θα εφαρμοστούν ευρέως.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz