เตือนภัย “PerfektBlue” ช่องโหว่บลูทูธร้ายแรง ในรถ Mercedes Benz, VW และ Skoda กระทบผู้ใช้รถยนต์หลายล้านคันทั่วโลก

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนถึงช่องโหว่ใหม่ชื่อ PerfektBlue ซึ่งพบในซอฟต์แวร์ Bluetooth ที่ใช้งานในระบบ Infotainment ของรถยนต์ยี่ห้อดังอย่าง Mercedes-Benz, Volkswagen (VW) และ Skoda โดยช่องโหว่นี้อาจเปิดช่องให้แฮกเกอร์ส่งโค้ดอันตรายเข้าไปควบคุมระบบบางส่วนของรถได้จากระยะไกล เพียงแค่ผู้ใช้เผลอกดอนุญาตการจับคู่อุปกรณ์บลูทูธเพียงครั้งเดียว

บริษัท PCA Cyber Security ผู้เชี่ยวชาญด้านความปลอดภัยเป็นผู้ค้นพบช่องโหว่จำนวน 4 รายการในซอฟต์แวร์ Blue SDK ของบริษัท OpenSynergy ซึ่งเป็นชุดซอฟต์แวร์ Bluetooth ที่ถูกใช้เป็นฐานในระบบ Infotainment ของรถหลายยี่ห้อ โดยช่องโหว่ที่พบได้แก่:

• CVE-2024-45434 (ร้ายแรง): ช่องโหว่ในโปรโตคอล AVRCP ทำให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution)
• CVE-2024-45431, 45432, 45433 (ระดับกลาง–ต่ำ): เกี่ยวกับการตรวจสอบข้อมูลในโปรโตคอล L2CAP และ RFCOMM ที่ผิดพลาด

ทีมวิจัยตั้งชื่อช่องโหว่ชุดนี้ว่า PerfektBlue และรายงานช่องโหว่ไปยัง OpenSynergy รวมถึงผู้ผลิตรถยนต์ที่เกี่ยวข้องตั้งแต่ปี 2024 เพื่อให้มีเวลาเตรียมรับมือ อย่างไรก็ตาม PCA ระบุว่าไม่ได้รับการตอบกลับใด ๆ จากผู้ผลิตรถยนต์ที่แจ้งไป และยังไม่มีคำยืนยันว่ามีการนำแพตช์ไปใช้งานแล้วหรือไม่

ในขณะเดียวกัน ทาง BleepingComputer รายงานว่าได้ติดต่อสอบถาม OpenSynergy เรื่องการออกแพตช์และจำนวนลูกค้าที่ได้รับผลกระทบ แต่ยังไม่ได้รับคำตอบ ณ เวลาที่เผยแพร่ข่าว

รถรุ่นใดได้รับผลกระทบบ้าง?

จากการทดสอบของทีม PCA พบว่าช่องโหว่นี้สามารถใช้งานได้จริงในระบบ Infotainment รุ่นต่อไปนี้:

• Mercedes-Benz NTG6 ใช้ในรถยนต์รุ่นใหม่ตั้งแต่ปี 2018–ปัจจุบัน เช่น A-Class (W177), B-Class (W247), CLA, GLE, GLS, S-Class (W223) และ EQ ซีรีส์ (EQB, EQC, EQS)
• Volkswagen ID.4 ระบบ ICAS3 ใช้ในรถไฟฟ้าตระกูล ID: ID.3, ID.4, ID.5 และ ID.Buzz
• Skoda Superb ระบบ MIB3 ใช้ใน: Skoda Superb, Octavia, Kamiq, Kodiaq, Scala และรุ่นอื่นๆ ใน VW Group ตั้งแต่ปี 2020

หากโจมตีสำเร็จ แฮกเกอร์อาจการทำการต่างๆ ที่เกี่ยวเนื่องกับระบบอินโฟเทนเมนต์ภายในรถ ไม่ว่าจะเป็น เข้าถึงข้อมูล GPS และประวัติเส้นทางเดินทาง, ดักฟังเสียงสนทนาในรถผ่านไมโครโฟน, ดูรายชื่อและประวัติการโทรของผู้ใช้ รวมถึงอาจขยายการเข้าถึงไปยังระบบอื่นๆ ภายในรถ (หากเชื่อมกับเครือข่ายเดียวกัน)

อย่างไรก็ตาม Volkswagen ยืนยันว่า ระบบควบคุมสำคัญ เช่น พวงมาลัย เครื่องยนต์ เบรก และระบบช่วยขับขี่ มีการแยกชุดควบคุม และได้รับการป้องกันจากความพยายามเข้าถึงจากภายนอกตัวรถ

แฮกไม่ง่าย แต่ก็ใช่ว่าจะทำไม่ได้

แม้ช่องโหว่จะรุนแรง แต่การโจมตีต้องมีเงื่อนไขครบถ้วน ดังนี้ แฮกเกอร์อยู่ใกล้รถ ไม่เกิน 5–7 เมตร, รถเปิดกุญแจ (Ignition on), ระบบ Infotainmentอยู่ในโหมด Bluetooth pairing, ผู้ใช้กดยอมรับการจับคู่อุปกรณ์บนหน้าจอรถ และแม้จะเชื่อมต่อได้แล้ว แฮกเกอร์ก็ต้องคงอยู่ในรัศมีดังกล่าวเพื่อรักษาการเชื่อมต่อ

แม้จะยังไม่สามารถเข้าถึงระบบควบคุมหลักของรถได้ก็ตาม แต่ความเสี่ยงต่อความเป็นส่วนตัวและข้อมูลผู้ใช้ก็ถือว่าร้ายแรงพอสมควร
เจ้าของรถควรหมั่นตรวจสอบการอัปเดตซอฟต์แวร์ และติดต่อศูนย์บริการเพื่อความมั่นใจว่า รถของตนได้รับการป้องกันจากช่องโหว่นี้แล้ว

ที่มา