Исследователи из некоммерческой организации Usenix выявили 128 уязвимостей в системах Bluetooth, используемых в современных автомобилях. Открытие стало возможным благодаря использованию новой системы — Bluetoolkit, представленный в 2025 году.
Этот инструмент специально разработан для автоматического тестирования безопасности протокола Bluetooth Classic. Bluetoolkit очень гибкий — позволяет добавлять новые тестовые сценарии через файлы конфигурации YAML, Он совместим с широким спектром оборудования (включая ESP32 и Nexus 5). И он суммирует эксплойты из таких известных наборов, как Braktooth и BlueBorne.
Важная характеристика возможность проведения беспроводных проверок воздуха, что позволяет анализировать безопасность информационно-развлекательных систем (ИВИ) без физического доступа к внутренним узлам автомобиля.
В рамках опроса эксперты протестировали 22 модели транспортных средств 14 крупных автопроизводителей, выпущенных с 2015 по 2023 год. В результате анализа было зарегистрировано 128 дефектов безопасности. В частности, 21 ошибка была обнаружена на уровне проектирования самих протоколов. и 46 дефектов, связанных с неправильным применением этих протоколов конкретными производителями.
В отчете описаны четыре категории потенциальных атак. Наиболее критичной является атака на захват учетной записи пользователя, с помощью которого злоумышленники могут перехватить SMS-сообщения или данные, передаваемые через профиль Hand (HFP), обойти двухфакторную аутентификацию и получить полный контроль над учетными записями.
Среди протестированных марок Skoda демонстрирует наименьшее количество уязвимостей — Модель ENYAQ 2023 года не обнаружила ни одной ошибки за 30 тестов. Tesla Model Y 2023 года показала две уязвимости. Четыре и шесть ошибок были обнаружены в Audi A5 и E-Tron 2020 года соответственно.
Наибольшее количество уязвимостей зарегистрировано у моделей 2021 года выпуска. Лидером по этому показателю является Renault Megane (13), за ними следуют Toyota Corolla (9) и BMW X2 (10).
-
Flipper Zero все чаще используется угонщиками автомобилей
-
Нападение на местную прокуратуру исходит из Китая и России
-
Срок действия информации затронул водителей VW, Seat, Audi и Skoda