Специалисты некоммерческой организации Usenix обнаружили 128 проблем с защитой в Bluetooth-системах современных авто, использовав передовой фреймворк BlueToolkit, представленный в 2025 году.
Мощный инструмент BlueToolkit для безопасности
BlueToolkit создан для автоматизированной проверки протокола Bluetooth Classic. Его ключевые преимущества – гибкость за счет добавления сценариев через YAML-файлы, совместимость с различным оборудованием (например, ESP32, Nexus 5) и объединение эксплойтов из наборов BrakTooth и BlueBorne. Особенно важна способность диагностики информационно-развлекательных систем (IVI) по воздуху (Over The Air), что не требует прямого контакта с авто.
Широкое тестирование и типы уязвимостей
В работе оценены 22 модели от 14 ведущих брендов (2015–2023 г.в.). Анализ выявил 128 дефектов: 21 – ошибка проектирования протоколов, 46 – ошибочная реализация производителями. Учёные выделили четыре типа атак. Самой опасной признан User Account Takeover (захват учётной записи). В сочетании с атакой "человек посередине" (MiTM) воры способны перехватывать SMS и данные Hands-Free Profile (HFP), обходить двухфакторную аутентификацию и брать аккаунты под контроль.
Лучшие и худшие в рейтинге безопасности
Среди протестированных меньше всего проблем выявила Skoda Enyaq 2023 года – ни одной уязвимости за 30 тестов! Tesla Model Y (2023) показала превосходные результаты всего с двумя слабыми местами. Модели Audi A5 и e-tron (2020) имели четыре и шесть недочётов соответственно. Крупнейшее число рисков зафиксировано у Renault Megane 2021 г.в. (13), Toyota Corolla (9) и BMW X2 (10).
Отметим, что организации типа NSO Group, известные шпионским ПО вроде Pegasus, запрещены на территории Российской Федерации.
Источник: www.gazeta.ru
