PCA Cybersecurity 연구진이 발견한 PerfektBlue는 OpenSynergy BlueSDK 블루투스 스택의 메모리 손상 및 논리 취약점 체인으로, 공격자가 블루투스 범위(약 10m) 내에서 사용자의 클릭 1번만으로 원격 코드 실행(RCE)이 가능한 1-click 공격을 구현한다. CVE-2024-45431부터 CVE-2024-45434까지 4개 CVE가 지정되었으며, 가장 심각한 CVE-2024-45434는 AVRCP 서비스의 Use-After-Free 취약점으로 CVSS 8.0 점수를 받았다. 취약점은 AVRCP, L2CAP, RFCOMM 레이어를 타깃으로 한다.

실증 공격은 메르세데스-벤츠 NTG6/NTG7 헤드유닛, 폭스바겐 MEB ICAS3 인포테인먼트(ID.4 모델), 스코다 MIB3 헤드유닛(Superb 모델)에서 성공적으로 수행되었다. 공격자는 차량 위치 추적, 차량 내부 오디오 녹음, 운전자 전화번호부 데이터 획득이 가능하며, 스티어링·경적·와이퍼 등 차량 기능 제어로의 측면 이동도 가능할 수 있다.

2024년 5월 OpenSynergy에 최초 보고되어 같은 해 9월 BlueSDK 고객에 패치가 배포되었으나, 2026년 현재도 일부 OEM은 패치를 받지 못한 것으로 확인되었다. 한 OEM은 취약점 통보조차 받지 못했다고 응답했으며, 이는 Tier2 공급망 소프트웨어 취약점 정보 전달 체계의 심각한 공백을 보여준다.

[2026년 4월 업데이트] 2026년 4월 복수 글로벌 보안 매체(The Hacker News, SecurityWeek 등)에서 PerfektBlue 취약점에 대한 후속 보도가 이어지고 있다. 후속 보도는 패치 배포 이후 약 1년 반이 지났음에도 일부 OEM 차량에 여전히 패치가 적용되지 않은 상황을 재조명하며, 자동차 공급망 소프트웨어 취약점 관리 체계의 구조적 문제를 지적하고 있다. 특히 Tier2 공급업체(OpenSynergy)가 패치를 배포했지만 Tier1을 거쳐 OEM까지 도달하는 과정에서 정보 단절이 발생하는 문제가 주요 논점으로 부각되었다.