Investigadores en ciberseguridad han identificado un conjunto de vulnerabilidades críticas en el stack Bluetooth BlueSDK de OpenSynergy, que podrían permitir la ejecución remota de código (RCE) en millones de vehículos fabricados por distintas marcas, incluyendo Mercedes-Benz, Volkswagen y Škoda.

Las fallas, bautizadas como “PerfektBlue”, pueden encadenarse en una cadena de explotación que permite a un atacante ejecutar código malicioso en el sistema de infoentretenimiento del vehículo. En ciertos casos, esta intrusión podría escalar hacia sistemas más sensibles del automóvil, dependiendo de cómo esté estructurada la red interna del fabricante.

¿Cómo se ejecuta el ataque?

El único requisito técnico para llevar a cabo el ataque es que el atacante esté dentro del rango Bluetooth del vehículo y pueda emparejar su dispositivo con el sistema de infoentretenimiento. Aunque esto puede parecer limitado, el proceso varía según el modelo: en algunos casos, no se requiere interacción del usuario.

Las vulnerabilidades detectadas incluyen:

• CVE-2024-45434: Uso de memoria después de liberarla (Use-After-Free) en el servicio AVRCP – CVSS 8.0
• CVE-2024-45431: Validación incorrecta de CID remota en canales L2CAP – CVSS 3.5
• CVE-2024-45433: Terminación incorrecta de funciones en RFCOMM – CVSS 5.7
• CVE-2024-45432: Llamada a función con parámetros erróneos en RFCOMM – CVSS 5.7

Una vez explotadas, estas vulnerabilidades pueden permitir a un atacante acceder a la ubicación GPS, grabar audio, consultar listas de contactos e incluso moverse lateralmente hacia otros sistemas, con la posibilidad de afectar funciones críticas del automóvil, como el motor.

Respuesta de los fabricantes

Volkswagen, en declaraciones a The Hacker News, señaló que las fallas están limitadas al sistema de infoentretenimiento y que no impactan funciones críticas de seguridad como dirección, frenos o motor. Además, indicaron que la explotación solo es posible si se cumplen varias condiciones simultáneamente:

• El atacante debe estar a no más de 5 a 7 metros del vehículo
• El encendido del vehículo debe estar activado
• El sistema debe estar en modo de emparejamiento Bluetooth
• El usuario debe aprobar manualmente el emparejamiento en la pantalla

Aun cumpliendo estos requisitos, el acceso se limitaría a funciones del sistema de audio e infoentretenimiento.

Volkswagen ya está trabajando en actualizaciones de software para corregir las fallas, y en algunos casos será necesario acudir al taller para aplicar los parches.

Recomendaciones de seguridad

Desde PCA Cyber Security, los expertos recomiendan:

• Verificar siempre los datos de emparejamiento durante el proceso
• Aplicar todas las actualizaciones de software disponibles
• Asegurarse de que los sistemas de aislamiento interno del vehículo estén bien configurados

Este caso destaca una vez más cómo los sistemas de conectividad en los automóviles modernos pueden abrir nuevos vectores de ataque si no están correctamente asegurados.

Fuente: https://thehackernews.com/2025/07/perfektblue-bluetooth-vulnerabilities.html