Verschillende kwetsbaarheden in de bluetooth-technologie waar verschillende autofabrikanten gebruik van maken, waaronder Volkswagen, Mercedes en Skoda, maken het mogelijk voor een aanvaller om gesprekken in auto's af te luisteren, opgeslagen telefoonnummers te stelen, de gps-coördinaten te volgen en andere systeemonderdelen van de auto aan te vallen. Dat stellen onderzoekers van cybersecuritybedrijf PCA Cyber Security.

De in totaal vier beveiligingslekken bevinden zich in de OpenSynergy Bluetooth Protocol Stack (BlueSDK), die autofabrikanten vooral voor hun infotainmentsystemen gebruiken. De kwetsbaarheden maken het mogelijk voor een aanvaller om code op het systeem uit te voeren. Via het gecompromitteerde infotainmentsysteem is het mogelijk om bijvoorbeeld gesprekken in de auto af te luisteren of toegang tot opgeslagen telefoonnummers te krijgen.

De onderzoekers stellen dat het ook mogelijk is om andere electronic control units van de auto aan te vallen, maar dit vereist wel aanvullende kwetsbaarheden en is ook niet door de onderzoekers gedemonstreerd. Voor het uitvoeren van de aanval moet een aanvaller wel binnen bluetooth-bereik van het infotainmentsysteem zijn. Vervolgens moet de aanvaller zijn laptop met het infotainmentsysteem pairen. Bij sommige systemen vereist dit interactie van de aangevallen gebruiker, in andere gevallen is er geen interactie vereist, aldus de onderzoekers.

OpenSynergy werd vorig jaar juni over de problemen ingelicht en kwam in september met updates. Niet alle fabrikanten hebben die meteen ontvangen. Dat was pas vorige maand het geval, aldus de onderzoekers. Eén van de fabrikanten die nog geen updates heeft kunnen uitrollen is dan ook bewust niet door de onderzoekers genoemd. Autobezitters worden aangeraden hun infotainmentsysteem te updaten of andere bluetooth uit te schakelen.