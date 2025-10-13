Исследователи из некоммерческой организации Usenix выявили 128 уязвимостей в системах Bluetooth, используемых в современных автомобилях. Открытие стало возможным благодаря применению нового инструментария - фреймворка BlueToolkit, который был представлен в 2025 году, передает Day.Az со ссылкой на Gazeta.ru.

Этот инструмент специально разработан для автоматизированного тестирования безопасности протокола Bluetooth Classic. BlueToolkit отличается высокой гибкостью: он позволяет добавлять новые сценарии тестирования через конфигурационные YAML-файлы, совместим с широким спектром аппаратного обеспечения (включая ESP32 и Nexus 5) и агрегирует эксплойты из известных наборов, таких как BrakTooth и BlueBorne. Важной особенностью является возможность проведения проверок по беспроводному каналу Over The Air, что позволяет анализировать безопасность информационно-развлекательных систем (IVI) без физического доступа к внутренним компонентам автомобиля.

В рамках исследования специалисты протестировали 22 модели транспортных средств от 14 крупных автопроизводителей, выпущенные с 2015 по 2023 год. В результате анализа было зафиксировано 128 дефектов безопасности. В частности, обнаружена 21 ошибка на уровне проектирования самих протоколов и 46 дефектов, связанных с некорректной реализацией этих протоколов конкретными производителями.

В докладе описаны четыре категории потенциальных атак. Наиболее критичной признана атака типа User Account Takeover (захват учетной записи пользователя). Используя ее в связке с атаками "человек посередине" (Man-in-the-Middle), злоумышленники могут перехватывать SMS-сообщения или данные, передаваемые через профиль Hands-Free Profile (HFP), обходить двухфакторную аутентификацию и получать полный контроль над аккаунтами.

Среди протестированных марок наименьшее число уязвимостей продемонстрировала Skoda: модель Enyaq 2023 года не выявила ни одной ошибки в рамках 30 проведенных тестов. Tesla Model Y 2023 года выпуска показала результат с двумя уязвимостями. В Audi A5 и e-tron 2020 года было найдено четыре и шесть ошибок соответственно.

Наибольшее количество уязвимостей было зафиксировано в следующих моделях: Renault Megane 2021 года (13), Toyota Corolla (9) и BMW X2 (10).