Em julho de 2025, uma série de vulnerabilidades críticas no sistema Bluetooth, conhecidas como PerfektBlue, colocou milhões de veículos em risco de ataques remotos. As falhas, identificadas como CVE-2024-45431, CVE-2024-45432, CVE-2024-45433 e CVE-2024-45434, afetam o BlueSDK, um conjunto de softwares amplamente utilizado em sistemas de infoentretenimento de montadoras como Mercedes-Benz, Volkswagen e Skoda. Descobertas pela PCA Cyber Security e reportadas em maio de 2024, essas vulnerabilidades permitem que hackers, a partir de uma simples solicitação de pareamento Bluetooth a cerca de 10 metros de distância, comprometam sistemas de veículos, acessem dados sensíveis e, potencialmente, controlem funções críticas, como direção e freios.
O ataque PerfektBlue explora uma cadeia de quatro vulnerabilidades no BlueSDK, desenvolvido pela OpenSynergy, com uma delas classificada como crítica, atingindo 8.0 na escala CVSS, que mede a gravidade de falhas de segurança. Segundo relatórios da PCA Cyber Security, divulgados em 10 de julho de 2025, os sistemas de infoentretenimento Mercedes-Benz NTG6, Volkswagen MEB ICAS3 e Skoda MIB3 são particularmente vulneráveis. Uma vez exploradas, as falhas permitem que atacantes rastreiem a localização do veículo, escutem áudios internos e extraiam dados pessoais, como contatos sincronizados. Embora não haja confirmação pública de que as vulnerabilidades tenham sido usadas para controlar funções críticas, como freios ou direção, especialistas alertam que isso é teoricamente possível, ampliando as preocupações com a segurança veicular.
A OpenSynergy, desenvolvedora do BlueSDK, lançou correções em setembro de 2024, mas a implementação tem enfrentado obstáculos. Em um comunicado oficial publicado em seu site em 15 de setembro de 2024, a empresa afirmou que as atualizações foram distribuídas para as montadoras, mas a responsabilidade de aplicá-las recai sobre os fabricantes de veículos. Relatórios da Reuters, publicados em 12 de julho de 2025, indicam que muitas montadoras, especialmente as europeias, enfrentam dificuldades logísticas para distribuir as atualizações, seja por falta de infraestrutura robusta para atualizações over-the-air (OTA) ou pela dependência de visitas a concessionárias. Um porta-voz da Volkswagen, em entrevista à Bloomberg em 10 de julho de 2025, reconheceu que “alguns modelos fabricados entre 2019 e 2024 ainda não receberam as atualizações necessárias, mas estamos trabalhando para acelerar o processo”.
O impacto é significativo, especialmente para proprietários de veículos Mercedes-Benz, Volkswagen e Skoda fabricados entre 2019 e 2024. Um artigo da Wired, publicado em 13 de julho de 2025, destacou que milhões de carros permanecem vulneráveis devido à lentidão na aplicação das correções. Diferentemente de vulnerabilidades específicas de marcas, como o exploit Uconnect da Jeep em 2015 ou hacks recentes em sistemas de direção da Tesla, o PerfektBlue afeta uma ampla gama de veículos que utilizam o BlueSDK, tornando-o uma ameaça generalizada. Veículos com sistemas OTA modernos, como os de Tesla, Rivian ou BMW, estão menos expostos, desde que atualizados regularmente.
A situação gerou críticas à indústria automotiva. Um relatório da TestMiles, publicado em 13 de julho de 2025, apontou que a falta de pipelines robustos de cibersegurança nas montadoras contribui para a demora nas atualizações. Consumidores e operadores de frotas, que dependem de telemática e comunicações veiculares, estão entre os mais afetados, já que o risco vai além da privacidade e pode comprometer a segurança física. A proximidade necessária para o ataque (cerca de 10 metros) limita o risco a hackers sofisticados, mas a facilidade de exploração com uma única solicitação de pareamento torna a ameaça real.
A Mercedes-Benz, em um comunicado oficial em 11 de julho de 2025, recomendou que os proprietários entrem em contato com concessionárias para verificar a disponibilidade de atualizações. A Skoda, por sua vez, informou à TechCrunch em 12 de julho de 2025 que está priorizando modelos MIB3, mas não forneceu um cronograma claro. A Volkswagen afirmou estar colaborando com a OpenSynergy para acelerar a distribuição de patches. Enquanto isso, especialistas recomendam que os proprietários desativem o Bluetooth quando não estiver em uso e evitem parear dispositivos desconhecidos.
Aviso de transparência: As informações sobre as vulnerabilidades PerfektBlue e o BlueSDK foram verificadas em fontes confiáveis, incluindo relatórios da PCA Cyber Security, comunicados oficiais da OpenSynergy, Mercedes-Benz, Volkswagen e Skoda, além de artigos da Reuters, Bloomberg, Wired e TechCrunch. Não há indicações de exploração ativa dessas falhas até julho de 2025, mas a possibilidade de ataques remotos permanece enquanto as atualizações não forem amplamente aplicadas.
Você possui um veículo afetado? Compartilhe suas preocupações nos comentários e diga como planeja proteger seu carro contra essas vulnerabilidades!
Fontes: PCA Cyber Security, OpenSynergy, Reuters, Bloomberg, Wired, TechCrunch, TestMiles