Direkt zum Hauptbereich

Mercedes, VW und mehr: Millionen von Autos durch Bluetooth-Lücken gefährdet

Von Jonaser Zeitung Redaktion
Forscher haben in einem weit verbreiteten Bluetooth-Framework mehrere Schwachstellen entdeckt. Angreifer können damit Schadcode in Autos einschleusen.

Sicherheitsforscher von PCA Cyber Security haben vier Sicherheitslücken in einem BlueSDK genannten Bluetooth-Framework von Opensynergy entdeckt. Durch eine kombinierte Ausnutzung dieser Lücken soll es Angreifern möglich sein, Schadcode auf Systemen auszuführen, die eine anfällige Version von BlueSDK verwenden. Und dazu zählen nach Angaben der Forscher unter anderem Infotainmentsysteme von Mercedes-Benz, Volkswagen und Skoda.

Die vier Sicherheitslücken werden in einer von PCA Cyber Security veröffentlichten Mitteilung näher beschrieben. Die CVSS-Werte liegen zwischen 3,5 und 8,0, was niedrigen bis hohen Schweregraden entspricht. Was durch eine kombinierte Ausnutzung der Schwachstellen möglich ist, zeigen die Forscher anhand einer Angriffstechnik, die sie Perfektblue nennen.

Perfektblue ist ein sogenannter 1-Klick-RCE-Angriff. Er setzt eine einfache Nutzerinteraktion voraus, die jedoch gravierende Folgen haben kann. In dem attackierten Fahrzeug muss lediglich die Kopplung mit einem Bluetooth-Gerät des Angreifers bestätigt werden. Danach kann der Angreifer die vier Lücken ausnutzen, um beispielsweise den Fahrzeugstandort zu tracken, Mikrofone anzuzapfen, Kontaktdaten abzugreifen oder weitere Angriffe auf kritische Systeme innerhalb des Autos auszuführen.

Mehrere Infotainmentsysteme betroffen

Weitere Details zu Perfektblue nennen die Entdecker auf einer separaten Webseite. Demnach testeten sie den Angriff erfolgreich an Infotainmentsystemen von Mercedes-Benz (NTG6), Volkswagen (MEB ICAS3) und Skoda (MIB3). Auf all diesen Systemen konnte das Forscherteam durch Perfektblue eine Reverse-Shell einrichten, um anschließend via TCP/IP eigene Befehle zur Ausführung zu bringen.

Die Forscher betonen, dass neben den Infotainmentsystemen von Millionen von Fahrzeugen potenziell noch weitere Systeme anfällig sind. Als Beispiel nennen sie nicht nur die neuere NTG7-Einheit von Mercedes, sondern auch Smartphones und andere Mobilgeräte, die BlueSDK verwenden. Auch mehrere Fahrzeugmodelle eines vierten Automobilkonzerns sollen betroffen sein. Dessen Namen hält PCA Cyber Security aber aus Sicherheitsgründen noch unter Verschluss.

Opensynergy schloss die vier Sicherheitslücken nach eigenen Angaben schon im September 2024. Die Details zu Perfektblue wurden aber erst jetzt veröffentlicht, um den Automobilherstellern genug Zeit einzuräumen, den Patch an ihre Kunden weiterzureichen. Bis Juni 2025 soll das aber noch nicht allen Herstellern gelungen sein. Als möglichen Grund dafür nennen die Forscher lange und komplexe Lieferketten.

Angriff auf Bluetooth-Reichweite beschränkt

Größere Distanzen lassen sich mit Perfektblue technisch bedingt wohl nicht überwinden. Ein VW-Sprecher teilte dem Nachrichtenportal Bleeping Computer auf Anfrage mit, der Angriff funktioniere nur aus Entfernungen von maximal fünf bis sieben Metern. Zudem müsse der Angreifer dauerhaft innerhalb der Bluetooth-Reichweite bleiben, um den Zugriff aufrechtzuerhalten. Hinzu komme, dass die Zündung aktiv sein und der Bluetooth-Zugriff im Fahrzeug explizit freigegeben werden müsse.

Mit Perfektblue allein soll es zudem nicht möglich sein, in kritische Fahrzeugfunktionen wie Lenkung, Fahrerassistenz, Motorsteuerung oder die Bremsfunktion einzugreifen. Deren Ansteuerung erfolge über eine separate Steuereinheit, die durch Sicherheitsmaßnahmen vor externen Zugriffen geschützt sei, erklärte der Sprecher. An dieser Stelle kommt ein Angreifer also nur weiter, wenn er den Angriff mit weiteren möglichen Schwachstellen kombiniert.

Wer in Erfahrung bringen möchte, ob sein Fahrzeug für Perfektblue anfällig ist oder die Sicherheitslücken bereits gepatcht wurden, wird von den Entdeckern an den jeweiligen Hersteller verwiesen. Anwender können sich aber auch dadurch schützen, dass sie verdächtige Pairing-Anfragen auf ihrem Infotainmentsystem grundsätzlich ablehnen oder die Bluetooth-Funktion ganz deaktivieren, sofern sie nicht benötigt wird.

Nachtrag vom 11. Juli 2025, 15:50 Uhr

Mercedes-Benz hat der Golem.de-Redaktion nach Veröffentlichung dieses Artikels eine Stellungnahme zukommen lassen. Darin erklärt der Konzern, er habe die gemeldeten Erkenntnisse sorgfältig geprüft und alle notwendigen Maßnahmen zur Risikominimierung ergriffen. Der von Opensynergy bereitgestellte Patch werde mittels Over-the-Air-Updates an Fahrzeuge des Herstellers verteilt.

Weiter heißt es in der Stellungnahme: "Wir schätzen die enge Zusammenarbeit mit Researchern. Mercedes-Benz hat ein Vulnerability Disclosure Program, über das Researcher mit uns in Kontakt treten und Hinweise einbringen können, um damit – neben den unternehmenseigenen Expertinnen und Experten – zur Entwicklung noch besserer und sicherer Produkte und Services beizutragen." Quelle: golem



JZ-App
Vorlesen lassen
Labels:

Kommentare

Kommentar veröffentlichen

Kommentar

Beliebte Beiträge

Jahresrückblick 2025 – Ein Jahr zwischen Umbrüchen, Innovationen und neuen Kulturphänomenen

Von Jonaser Zeitung Redaktion
2025 war ein Jahr, das die Welt in vielerlei Hinsicht herausforderte. Politische Spannungen, technologische Durchbrüche und extreme Wetterereignisse prägten die globale Lage ebenso wie neue kulturelle Bewegungen und digitale Trends. Während internationale Konflikte die geopolitische Ordnung belasteten, zeigte sich gleichzeitig eine Gesellschaft im Wandel: zwischen Fortschritt und Unsicherheit, zwischen digitaler Beschleunigung und dem Wunsch nach Stabilität. Dieser Jahresrückblick fasst die wichtigsten Entwicklungen zusammen – sachlich, umfassend und mit Blick auf die Ereignisse, die das Jahr nachhaltig geprägt haben, zusammengestellt von der Jonaser Zeitung Redaktion. Politik & Weltgeschehen Europa im Wandel - Bulgarien und Rumänien traten vollständig dem Schengen-Raum bei – ein bedeutender Schritt für die europäische Integration. - In Polen gewann Karol Nawrocki knapp die Präsidentschaftswahl, was zu einer Phase politischer Spannung zwischen Regierung und Staatsoberhaupt führte. ...
Kommentar veröffentlichen
Mehr lesen »

Trotz Schutzmaßnahmen: 20 Geldautomaten in Bayern gesprengt

Von Jonaser Zeitung Redaktion
In Bayern hat es im laufenden Jahr 20 Geldautomaten-Sprengungen gegeben – die Zahl bleibt damit nahezu konstant auf Vorjahresniveau. Kurz vor Weihnachten gelang der Polizei in Ehekirchen in Oberbayern die Festnahme mutmaßlicher Täter nach einer Sprengung. Trotz intensiver Ermittlungen und Präventionsmaßnahmen der Banken gelingt es nicht, die Zahl der Attacken signifikant zu senken. Von den 20 Fällen in diesem Jahr waren 15 erfolgreich – die Täter erbeuteten Geld. In vier Fällen blieben sie ohne Beute, zweimal kam es gar nicht zur Detonation. Bei einem Fall in Unterpleichfeld ist der Ausgang zunächst unklar. Verletzte gab es 2025 bislang nicht. «Wir bewegen uns bei den Zahlen im Vergleich zu den Jahren 2024 und 2023 nahezu auf einem identischen Niveau», teilte ein Sprecher des Bayerischen Landeskriminalamtes (BLKA) mit. 2024 wurden 22 Sprengungen registriert, 2023 waren es 21 Fälle. Zum Vergleich: 2022 lag die Zahl mit 37 Fällen deutlich höher. Ermittlungen und Festnahmen Die Behörden v...
Kommentar veröffentlichen
Mehr lesen »

Trotz Klage: Jon Prosser zeigt iPhone-Fold-Render

Von Jonaser Zeitung Redaktion
Keine Falz, 9 mm Dicke und vier Kameras: In einem neuen Video zeigt Jon Prosser Rendergrafiken zum  iPhone  Fold. Es soll im Herbst 2026 erscheinen. Jon Prosser befindet sich wegen seiner Videos zu iOS 26 und Liquid Glass in einem aktiven Rechtsstreit mit Apple. Trotzdem zeigte der Leaker an Heiligabend in einem Video neue Rendergrafiken und Informationen über das erste klappbare iPhone, welches im Herbst 2026 erscheinen soll. Schlanker als das iPhone Air Neben einem umfassenden Blick auf das Gerät, nennt Prosser auch zahlreiche technische Details. Dabei sei angemerkt, dass Prosser zwar durchaus schon treffsichere Angaben lieferte, aber nicht alle seine Vorhersagen eintrafen. Laut dem Video soll das iPhone Fold zusammengeklappt nur 9 mm dick sein. Jede Hälfte ist demnach mit 4,5 mm noch einmal schlanker als die 5,6 mm des iPhone Air. Insgesamt vier Kameras sollen verbaut sein, zwei auf der Rückseite und jeweils eine in jedem Bildschirm. Face ID bieten diese Kame...
Kommentar veröffentlichen
Mehr lesen »

Wintersturm in USA: 1.659 Flüge gestrichen, 900 allein in New York

Von Jonaser Zeitung Redaktion
Ein schwerer Wintersturm hat im Nordosten der USA hunderte Flüge ausfallen lassen. Airlines strichen am Freitag landesweit 1.659 Flüge – etwa zehnmal mehr als am Vortag. Die Störungen treffen Reisende ausgerechnet am Wochenende nach Weihnachten, einer der verkehrsreichsten Zeiten des Jahres. Besonders stark betroffen ist die Metropolregion New York. An den drei großen Flughäfen John F. Kennedy International, LaGuardia und Newark Liberty International fielen zusammen fast 900 Flüge aus. Die Flughäfen forderten Passagiere über die Plattform X auf, sich vor der Anreise bei ihrer Airline über den Flugstatus zu informieren. Schneefall und Wetterwarnungen Der Nationale Wetterdienst prognostizierte für New York City bis zu 13 Zentimeter Neuschnee. Für Gebiete nördlich und nordöstlich der Stadt erwartete der Wetterdienst sogar bis zu 28 Zentimeter. Vereinzelt war auch mit überfrierender Nässe zu rechnen. Die Wintersturm-Warnung galt bis Samstag 13:00 Uhr Ortszeit (19:00 Uhr MEZ). Auch andere S...
Kommentar veröffentlichen
Mehr lesen »

Deutschlandticket wird ab Januar teurer: 63 statt 58 Euro

Von Jonaser Zeitung Redaktion
Das Deutschlandticket wird erneut teurer. Ab Januar steigt der Preis von 58 auf 63 Euro pro Monat – ein Plus von rund neun Prozent. Für die Nutzer des bundesweiten Nahverkehrstickets ist es bereits die zweite Preiserhöhung seit der Einführung im Mai 2023. Die Verkehrsminister hatten sich im September auf die Preisanpassung geeinigt. Grund ist eine Finanzierungslücke bei den Verkehrsunternehmen. Bund und Länder zahlen jeweils 1,5 Milliarden Euro jährlich für das Ticket – mehr wollten sie nicht beisteuern. Die erwarteten Mehrkosten müssen daher die Nutzer tragen. Christian Bernreiter (CSU), Vorsitzender der Verkehrsministerkonferenz, verteidigte die Entscheidung. «Das Deutschlandticket ist auch mit 63 Euro noch ein attraktives Angebot für Millionen Fahrgäste», sagte er. Ohne die Preisanpassung hätte das Ticket 2026 womöglich gar nicht mehr existiert. «Es bestand die Gefahr, dass zahlreiche Verkehrsunternehmen oder Verbünde aussteigen, wenn ihre Einnahmeausfälle nicht gedeckt werden», so ...
Kommentar veröffentlichen
Mehr lesen »