خب، بیا یه خبر باحال (و البته یه کم نگرانکننده!) رو واست تعریف کنم. چندتا کارشناس امنیتی کلی گشتن و چهار تا ضعف امنیتی توی بلوتوث تعدادی از ماشینهای معروف دنیا پیدا کردن. این ضعفها توی یه پکیج نرمافزاری به اسم BlueSDK قرار دارن، که همین BlueSDK یه جور «Bluetooth stack» حساب میشه، یعنی نرمافزاری که ارتباط بلوتوث رو توی دستگاهها مدیریت میکنه.
حالا کیها قراره دردسر بکشن؟ برندهای معروفی مثل مرسدس، فولکسواگن و اشکودا (شاید بقیه هم باشن!) جزو قربانیهای احتمالی این مشکل هستن. من دیدم حتی خودم به سیستم سرگرمی یا همون Infotainment ماشینم با بلوتوث وصل میشم – همون جایی که موزیک پلی میکنی یا تماس میگیری! حالا فرض کن یه نفر بتونه از این راه بیاد و به ماشینت وصل بشه! مشکل خیلی جدیه!
اینا چی پیدا کردن دقیقاً؟ چهار تا ضعف امنیتی (به قول تکنیکالها یعنی vulnerability) کشف شده که با هم اگه ترکیب بشن بهشون میگن “PerfektBlue”. حالا RCE attack هم میشه “Remote Code Execution” یعنی یه نفر بتونه از راه دور کد مخرب اجرا کنه – همون هک کردن از دور!
گروهی به اسم PCA Cyber Security این ضعفها رو کشف کردن و واسه هر کدوم یه شناسه دادن که اسمش هست CVE (این سیستم جهانی ردگیری آسیبپذیریهاست) و کدهاشون اینا بود: CVE-2024-45434، CVE-2024-45431، CVE-2024-45433 و CVE-2024-45432 (هر کدوم میزان خطرش فرق میکنه، از کم تا خیلی زیاد!).
چی میشه اگه این مشکلات رو بخوان سوءاستفاده کنن؟ مثلا هکر میتونه به سیستم Infotainment وصل بشه، مکالمات داخل ماشین رو شنود کنه (یعنی حرفهایی که بین راننده و سرنشینها رد و بدل میشه رو گوش بده)، لیست مخاطبین گوشیهایی که وصل شدن رو برداره، یا حتی لوکیشن GPS ماشین رو ردیابی کنه و خیلی خطرات دیگه!
ولی نترس! اینجوری هم نیست که هکرها راحت بتونن حمله کنن. چندتا شرط لازمه تا این حمله عملی بشه:
– شخص مهاجم باید نهایتاً بین ۵ تا ۷ متر به ماشین نزدیک باشه و تو این فاصله بمونه (بلوتوث محدودیت برد داره!)
– ماشینت باید روشن باشه
– سیستم Infotainment باید روی حالت جفتسازی (یعنی Pairing Mode) باشه
– کاربر هم باید روی صفحه ماشین گزینه تأیید جفتسازی بلوتوث رو بزنه. (تو بعضی ماشینها این مرحله حتی به صورت خودکار انجام میشه و بدون تأیید کاربر!)
پس با این حساب، حمله خیلی ساده نیست و به ویژه بدون دخالت راننده یا سرنشین سختتره، ولی خب ممکنه بعضی ماشینها به صورت خودکار Pair بشن و اونموقع خطرش بیشتره.
گزارش کامل، اولین بار در ژوئن ۲۰۲۴ به شرکت OpenSynergy که مسئول BlueSDK هست داده شد. بعدش توی سپتامبر یه آپدیت امنیتی براش منتشر کردن (یعنی Patch دادن). اما نکته اینجاست که نصب این آپدیت باید توسط خود شرکتهای خودروسازی انجام بشه و فعلاً فقط فولکسواگن گفتن دارن بررسی میکنن و پیگیری جدی انجام نشده. بقیه برندها فعلاً هیچ پاسخی ندادن!
خلاصه: هنوز ریسک خیلی بالایی نیست ولی بهتره اگر ماشینت از این برندهاست، حواست باشه به بلوتوث هر دستگاه ناشناسی وصل نشی و قبل از Pair کردن حتماً ببینی چی رو داری تأیید میکنی. ضمناً آپدیتهای ماشین رو جدی بگیر چون ممکنه این Patch به زودی ارائه بشه.
یه توضیح کوچیک درباره چند کلمه عجیب و غریب: Stack به نرمافزاری میگن که توی شبکه مثل بلوتوث یا اینترنت کارش سرویسدهیه؛ CVE هم شناسه بینالمللی آسیبپذیریهاست؛ و Remote Code Execution یعنی هکر از راه دور کنترل بخشی از سیستم رو به دست میگیره. Infotainment هم همون سیستم سرگرمی و اطلاعرسانی ماشینه که بهش آهنگ گوش میدی یا مسیریابی میکنی.
آخرش هم اگه دوست داری بیشتر درباره امنیت ماشین بخونی یا بهخصوص درباره اشکودا و باقی برندها و اپهای امنیتی مثل Password Managerها و Authenticatorها اطلاعات بگیری، تو اینترنت کلی راهنما هست که میتونه کمکت کنه.
منبع: +
