Un fallo en el popular stack BlueSDK de OpenSynergy permite la ejecución remota de código en sistemas de infoentretenimiento y abre la puerta a posibles intrusiones en el interior de los vehículos.
Cuatro vulnerabilidades críticas descubiertas en el stack Bluetooth BlueSDK, desarrollado por OpenSynergy y ampliamente utilizado en la industria automovilística, han puesto en riesgo a millones de vehículos, incluidos modelos de Mercedes-Benz, Volkswagen y Skoda. El conjunto de fallos, denominado colectivamente PerfektBlue, podría ser aprovechado por atacantes para ejecutar código malicioso a distancia, capturar datos privados de los ocupantes y, en determinadas condiciones, escalar privilegios para acceder a componentes internos del coche.
Los hallazgos fueron revelados por la firma PCA Cyber Security, especializada en ciberseguridad automotriz, y presentados tras una exhaustiva investigación iniciada en mayo de 2024. Aunque OpenSynergy lanzó parches correctivos en septiembre del año pasado, muchos fabricantes aún no han desplegado las actualizaciones correspondientes, lo que agrava la exposición a ataques.
Vulnerabilidades explotables con tan solo un clic
El ataque PerfektBlue requiere, en la mayoría de los casos, que el atacante se encuentre a una distancia máxima de entre 5 y 7 metros del vehículo, que este esté encendido y que el sistema de emparejamiento Bluetooth esté activo. Si el usuario aprueba el acceso del dispositivo malicioso, el atacante podría ejecutar código y obtener un acceso persistente.
Estas son las vulnerabilidades identificadas:
- CVE-2024-45434 (Alta gravedad): Uso de memoria tras liberación en el servicio AVRCP (perfil de control de medios).
- CVE-2024-45433 (Gravedad media): Error de terminación de función en el protocolo RFCOMM.
- CVE-2024-45432 (Gravedad media): Llamada a función con parámetro incorrecto en RFCOMM.
- CVE-2024-45431 (Baja gravedad): Validación inapropiada del identificador remoto de canal L2CAP.
Los investigadores lograron ejecutar con éxito un ataque PerfektBlue en los sistemas de infoentretenimiento de un Volkswagen ID.4 (ICAS3), un Mercedes-Benz (NTG6) y un Skoda Superb (MIB3). En todos los casos, obtuvieron acceso remoto mediante una reverse shell sobre el protocolo TCP/IP, lo que permitió interceptar datos como la ubicación GPS, contactos del teléfono y conversaciones dentro del vehículo.
Respuestas dispares de los fabricantes
Aunque PCA notificó a los fabricantes con tiempo suficiente, solo Mercedes-Benz ha confirmado haber desplegado medidas de mitigación, incluyendo actualizaciones vía OTA. Volkswagen, por su parte, reconoció que comenzó a investigar el problema tras conocer su existencia recientemente, y aclaró que para que un ataque tenga éxito deben cumplirse múltiples condiciones simultáneamente.
Volkswagen insiste en que estas vulnerabilidades no permiten acceso a funciones críticas como el motor, la dirección o los frenos, ya que estos sistemas están aislados y protegidos mediante unidades de control independientes.
Por su parte, OpenSynergy confirmó que los parches se emitieron en septiembre de 2024, pero, debido a acuerdos de confidencialidad (NDAs), no puede revelar qué fabricantes o modelos siguen expuestos.
Una cadena de suministro poco transparente
El caso PerfektBlue pone de manifiesto una realidad incómoda para la industria automovilística: la opacidad en la cadena de suministro de software embebido. Al depender de componentes de terceros como BlueSDK, cuya presencia no siempre es evidente ni documentada públicamente, los fabricantes pierden visibilidad sobre la exposición real de sus sistemas.
Además, muchos OEMs (fabricantes de equipos originales) personalizan o reempaquetan estos stacks, lo que dificulta aún más el despliegue coordinado de parches.
Repercusiones y próximos pasos
Los expertos alertan de que, aunque PerfektBlue no compromete directamente los sistemas de conducción, representa una grave amenaza a la privacidad y la ciberseguridad del habitáculo. La posibilidad de capturar datos personales, acceder a sistemas conectados o manipular funciones del vehículo mediante Bluetooth debería ser motivo de preocupación tanto para fabricantes como para conductores.
PCA Cyber Security ha anunciado que revelará más detalles técnicos y nombrará a un cuarto fabricante afectado durante una conferencia en noviembre de 2025. Mientras tanto, recomiendan desactivar el emparejamiento Bluetooth automático en los sistemas de infoentretenimiento y mantener los vehículos actualizados siempre que sea posible.
El caso PerfektBlue subraya una vez más la urgencia de aplicar estándares de seguridad cibernética rigurosos en los sistemas conectados de los automóviles modernos. A medida que los coches se asemejan cada vez más a ordenadores sobre ruedas, la superficie de ataque se amplía y la necesidad de transparencia, parches rápidos y responsabilidad compartida se vuelve ineludible.
vía: opensynergy
