사이버 보안 연구진은 BlueSDK 블루투스 스택에서 네 가지 취약점을 발견했습니다. 이 취약점들은 악용 시 원격 코드 실행(RCE)이 가능한 ‘PerfektBlue’ 공격으로 연결될 수 있습니다.

해당 블루투스 스택은 메르세데스, 폭스바겐, 스코다를 비롯한 여러 자동차 제조사에서 사용되고 있습니다. 이론적으로 공격자는 차량의 인포테인먼트 시스템과 블루투스 장치를 연결한 뒤, 대화 내용을 도청하거나 기기 내 연락처 목록을 탈취할 수 있습니다.

또한 위협 행위자는 차량의 GPS 좌표를 추적하는 등 다양한 정보를 빼낼 수 있습니다. 공격에 필요한 것은 사용자가 한 번 블루투스 페어링을 수락하는 것뿐입니다. 일부 차량에서는 별도의 사용자 입력 없이 자동으로 페어링이 진행되기도 합니다.

취약점은 PCA Cyber Security가 발견했으며, CVE-2024-45434, CVE-2024-45431, CVE-2024-45433, CVE-2024-45432로 등록되었습니다. 각 취약점의 심각도는 낮음부터 높음까지 다양하며, 스택의 서로 다른 구성 요소에서 나타납니다.

PCA Cyber Security는 2024년 6월에 이를 BlueSDK를 관리하는 OpenSynergy에 보고했습니다. 이후 9월에 패치가 배포되었으나, 실제 차량에 적용되려면 완성차 제조사의 추가 조치가 필요합니다.

현재 폭스바겐만이 이 문제를 조사 중입니다. 폭스바겐은 공격자가 차량에 접근하기 위해서는 5~7미터 이내에 있어야 하고, 시동이 켜진 상태에서 인포테인먼트 시스템이 페어링 모드여야 한다고 밝혔습니다. 또한 사용자가 직접 화면에서 외부 블루투스 접근을 승인해야만 취약점이 실행됩니다.