Millionen Autos gefährdet: Schwachstelle auch bei deutschen Herstellern

Sicherheitsforscher haben eine Schwachstelle im Infotainment-System von Millionen Fahrzeugen entdeckt, die über Bluetooth ausgenutzt werden kann. Betroffen sind unter anderem Modelle von Mercedes, VW und Škoda. Die Hersteller haben bereits reagiert.

Kritische Bluetooth-Schwachstellen entdeckt

Sicherheitsforscher haben vier kritische Schwachstellen im BlueSDK Bluetooth-Stack identifiziert, die für Hacker-Angriffe aus der Ferne genutzt werden können. Diese Software wird von verschiedenen Herstellern in Millionen von Fahrzeugen eingesetzt - darunter auch von deutschen Konzernen wie Mercedes-Benz und Volkswagen sowie Tochter Škoda. Die Sicherheitslücken sind seit Längerem bekannt, und ein Fix existiert bereits. Dennoch könnten einige Fahrzeuge weiterhin angreifbar sein.

Die als "PerfektBlue" bezeichneten Schwachstellen ermöglichen es Angreifern, sich Zugang zum Infotainment-System eines Fahrzeugs zu verschaffen. Von dort aus können sie den Standort des Fahrzeugs verfolgen, Audioaufnahmen aus dem Fahrzeuginneren erstellen oder auf Telefonbuch-Daten zugreifen.


Wie die Sicherheitsforscher von PCA Cyber Security schreiben, ist für einen erfolgreichen Angriff lediglich eine Bluetooth-Kopplung erforderlich. Bei einigen Fahrzeugen wäre das sogar automatisch ohne Zutun des Nutzers möglich. Die Sicherheitsforscher meldeten ihre Erkenntnisse bereits im Juni 2024 an OpenSynergy, den Entwickler des BlueSDK Bluetooth-Stacks. Sie konnten die Lücke bei einem Volkswagen ID.4 (ICAS3), einem Mercedes-Benz (NTG6) und einem Škoda Superb (MIB3) nachweisen. Mindestens ein weiterer Hersteller, der nicht genannt wird, soll auch betroffen sein.

Strenge Voraussetzungen für Angriffe

Volkswagen hält eine Ausnutzung der Lücke jedoch für extrem unwahrscheinlich und hat auf Anfrage eine detaillierte Liste von Voraussetzungen veröffentlicht, die für einen erfolgreichen Angriff erfüllt sein müssen. Der Angreifer muss sich demnach in fünf bis sieben Metern Entfernung zum Fahrzeug befinden, die Zündung muss eingeschaltet sein und das Infotainment-System muss sich im Kopplungsmodus befinden. Zusätzlich muss der Fahrzeugnutzer (zumindest bei Volkswagen) den externen Bluetooth-Zugriff aktiv bestätigen.

Diese Einschränkungen machen spontane Angriffe zwar recht unwahrscheinlich, schließen gezielte Attacken aber nicht grundsätzlich aus. Volkswagen betont gegenüber The Hacker News aber, dass keine kritischen Systeme betroffen sind.

Eingriffe in Fahrzeugfunktionen, die über das Infotainment-System hinausgehen, sind nicht möglich, z.B. keine Lenkeingriffe, keine Eingriffe in Fahrerassistenzsysteme, Motor- oder Bremsfunktionen. Diese befinden sich im Fahrzeug auf einem anderen Steuergerät, das durch eigene Sicherheitsfunktionen gegen Eingriffe von außen geschützt ist. Auch gibt es keine Hinweise auf eine böswillige Ausnutzung der Fahrzeuge im Feld.

Sicherheitsmaßnahmen und Updates

Die betroffenen Hersteller haben unterschiedlich auf die Sicherheitslücken reagiert. Während Volkswagen und Mercedes-Benz bereits Updates ausgerollt haben, ist vor allem bei dem vierten unbekannten Hersteller nicht klar, ob die Lücke bereits geschlossen wurde. Zudem sind auch Fahrzeuge, bei denen noch keine Software-Aktualisierung durchgeführt wurde, weiterhin gefährdet. Die Herausforderung liegt demnach nicht nur in der technischen Umsetzung, sondern auch in der Logistik, denn Millionen von Fahrzeugen müssen erreicht und aktualisiert werden.

Immer komplexere Systeme

Bluetooth ist seit den späten 1990er Jahren ein etablierter Standard für die drahtlose Kommunikation über kurze Distanzen. In modernen Fahrzeugen wird die Technologie für verschiedene Funktionen genutzt: von der Freisprecheinrichtung über die Musikwiedergabe bis hin zur Smartphone-Integration. Der BlueSDK-Stack von OpenSynergy ist dabei eine weitverbreitete Software-Lösung, die von zahlreichen Automobilherstellern lizenziert wird.

Die Komplexität moderner Infotainment-Systeme hat in den vergangenen Jahren erheblich zugenommen. Diese Systeme sind heute praktisch vollwertige Computer mit Internetverbindung, GPS-Navigation und umfangreichen Multimedia-Funktionen. Diese Entwicklung bringt jedoch auch neue Sicherheitsrisiken mit sich, da mehr Angriffsflächen entstehen.

Habt ihr bereits ein Sicherheitsupdate für euer Fahrzeug erhalten? Welche Erfahrungen habt ihr mit der Bluetooth-Sicherheit in eurem Auto gemacht? Teilt eure Meinungen in den Kommentaren!


Siehe auch: