Mercedes, VW und mehr: Millionen von Autos durch Bluetooth-Lücken gefährdet

Forscher haben in einem weit verbreiteten Bluetooth-Framework mehrere Schwachstellen entdeckt. Angreifer können damit Schadcode in Autos einschleusen.

Sicherheitsforscher von PCA Cyber Security haben vier Sicherheitslücken in einem BlueSDK genannten Bluetooth-Framework von Opensynergy entdeckt. Durch eine kombinierte Ausnutzung dieser Lücken soll es Angreifern möglich sein, Schadcode auf Systemen auszuführen, die eine anfällige Version von BlueSDK verwenden. Und dazu zählen nach Angaben der Forscher unter anderem Infotainmentsysteme von Mercedes-Benz, Volkswagen und Skoda.

Die vier Sicherheitslücken werden in einer von PCA Cyber Security veröffentlichten Mitteilung näher beschrieben. Die CVSS-Werte liegen zwischen 3,5 und 8,0, was niedrigen bis hohen Schweregraden entspricht. Was durch eine kombinierte Ausnutzung der Schwachstellen möglich ist, zeigen die Forscher anhand einer Angriffstechnik, die sie Perfektblue nennen.

Perfektblue ist ein sogenannter 1-Klick-RCE-Angriff. Er setzt eine einfache Nutzerinteraktion voraus, die jedoch gravierende Folgen haben kann. In dem attackierten Fahrzeug muss lediglich die Kopplung mit einem Bluetooth-Gerät des Angreifers bestätigt werden. Danach kann der Angreifer die vier Lücken ausnutzen, um beispielsweise den Fahrzeugstandort zu tracken, Mikrofone anzuzapfen, Kontaktdaten abzugreifen oder weitere Angriffe auf kritische Systeme innerhalb des Autos auszuführen.

Mehrere Infotainmentsysteme betroffen

Weitere Details zu Perfektblue nennen die Entdecker auf einer separaten Webseite. Demnach testeten sie den Angriff erfolgreich an Infotainmentsystemen von Mercedes-Benz (NTG6), Volkswagen (MEB ICAS3) und Skoda (MIB3). Auf all diesen Systemen konnte das Forscherteam durch Perfektblue eine Reverse-Shell einrichten, um anschließend via TCP/IP eigene Befehle zur Ausführung zu bringen.

Die Forscher betonen, dass neben den Infotainmentsystemen von Millionen von Fahrzeugen potenziell noch weitere Systeme anfällig sind. Als Beispiel nennen sie nicht nur die neuere NTG7-Einheit von Mercedes, sondern auch Smartphones und andere Mobilgeräte, die BlueSDK verwenden. Auch mehrere Fahrzeugmodelle eines vierten Automobilkonzerns sollen betroffen sein. Dessen Namen hält PCA Cyber Security aber aus Sicherheitsgründen noch unter Verschluss.

Opensynergy schloss die vier Sicherheitslücken nach eigenen Angaben schon im September 2024. Die Details zu Perfektblue wurden aber erst jetzt veröffentlicht, um den Automobilherstellern genug Zeit einzuräumen, den Patch an ihre Kunden weiterzureichen. Bis Juni 2025 soll das aber noch nicht allen Herstellern gelungen sein. Als möglichen Grund dafür nennen die Forscher lange und komplexe Lieferketten.

Angriff auf Bluetooth-Reichweite beschränkt

Größere Distanzen lassen sich mit Perfektblue technisch bedingt wohl nicht überwinden. Ein VW-Sprecher teilte dem Nachrichtenportal Bleeping Computer auf Anfrage mit, der Angriff funktioniere nur aus Entfernungen von maximal fünf bis sieben Metern. Zudem müsse der Angreifer dauerhaft innerhalb der Bluetooth-Reichweite bleiben, um den Zugriff aufrechtzuerhalten. Hinzu komme, dass die Zündung aktiv sein und der Bluetooth-Zugriff im Fahrzeug explizit freigegeben werden müsse.

Mit Perfektblue allein soll es zudem nicht möglich sein, in kritische Fahrzeugfunktionen wie Lenkung, Fahrerassistenz, Motorsteuerung oder die Bremsfunktion einzugreifen. Deren Ansteuerung erfolge über eine separate Steuereinheit, die durch Sicherheitsmaßnahmen vor externen Zugriffen geschützt sei, erklärte der Sprecher. An dieser Stelle kommt ein Angreifer also nur weiter, wenn er den Angriff mit weiteren möglichen Schwachstellen kombiniert.

Wer in Erfahrung bringen möchte, ob sein Fahrzeug für Perfektblue anfällig ist oder die Sicherheitslücken bereits gepatcht wurden, wird von den Entdeckern an den jeweiligen Hersteller verwiesen. Anwender können sich aber auch dadurch schützen, dass sie verdächtige Pairing-Anfragen auf ihrem Infotainmentsystem grundsätzlich ablehnen oder die Bluetooth-Funktion ganz deaktivieren, sofern sie nicht benötigt wird.

Nachtrag vom 11. Juli 2025, 15:50 Uhr

Mercedes-Benz hat der Golem.de-Redaktion nach Veröffentlichung dieses Artikels eine Stellungnahme zukommen lassen. Darin erklärt der Konzern, er habe die gemeldeten Erkenntnisse sorgfältig geprüft und alle notwendigen Maßnahmen zur Risikominimierung ergriffen. Der von Opensynergy bereitgestellte Patch werde mittels Over-the-Air-Updates an Fahrzeuge des Herstellers verteilt.

Weiter heißt es in der Stellungnahme: "Wir schätzen die enge Zusammenarbeit mit Researchern. Mercedes-Benz hat ein Vulnerability Disclosure Program, über das Researcher mit uns in Kontakt treten und Hinweise einbringen können, um damit – neben den unternehmenseigenen Expertinnen und Experten – zur Entwicklung noch besserer und sicherer Produkte und Services beizutragen." Quelle: golem

JZ-App

Vorlesen lassen

Daimler Truck streicht 5000 Stellen bis 2030

Daimler Truck will bis 2030 rund 5.000 Arbeitsplätze in Deutschland abbauen. Das gab der Nutzfahrzeughersteller auf seinem Kapitalmarkttag in Charlotte (North Carolina) bekannt. Die Stellen sollen nach Angaben eines Unternehmenssprechers hauptsächlich über natürliche Fluktuation und Altersteilzeit wegfallen. Zusätzlich seien aber auch gezielte Abfindungsprogramme möglich. Lastwagen-Sparte besonders betroffen Betroffen ist die Lastwagen-Sparte des Unternehmens aus Leinfelden-Echterdingen bei Stuttgart. Dort arbeiten derzeit rund 28.000 Menschen. Insgesamt beschäftigt Daimler Truck in Deutschland etwa 35.500 Mitarbeiter. Das Dax-Unternehmen hatte sich bereits im Mai mit dem Gesamtbetriebsrat auf Eckpunkte für die deutschen Lkw-Standorte verständigt. Diese beinhalten auch einen sozialverträglichen Personalabbau. Kündigungsschutz bis 2034 In der Vereinbarung haben sich Daimler Truck und die Arbeitnehmervertreter darauf geeinigt, dass es bis Ende 2034 keine betriebsbedingten Kündigungen geb...

KI am Handgelenk: Gemini-Upgrade macht Smartwatches jetzt deutlich schlauer

Eure Smartwatch am Handgelenk soll zu einem echten Assistenten werden. Dazu bringt Google seine KI darauf, die verspricht, euren Alltag zu verstehen. Das steckt dahinter. Google hat damit begonnen, seinen KI-Assistenten Gemini für Smartwatches mit dem Betriebssystem Wear OS auszurollen. Damit wird der bisherige Google Assistant auf den Uhren abgelöst und durch eine leistungsfähigere KI ersetzt. Der Rollout erfolgt laut der offiziellen Ankündigung im Google-Blog schrittweise für Uhren ab der Version Wear OS 4, darunter Modelle von Samsung, Oppo, Oneplus und Xiaomi, aber selbstverständlich auch Googles eigene Pixel Watch . Was Gemini auf der Uhr anders macht Der entscheidende Unterschied zum Vorgänger liegt in der Fähigkeit von Gemini, komplexe und kontextbezogene Aufgaben zu bewältigen. Statt auf einfache Befehle wie „Wie wird das Wetter?“ zu reagieren, soll Gemini natürliche Gesprächsverläufe verstehen und Informationen aus verschiedenen Google-Diensten miteinander ver...

Kaufland startet Versicherungsverkauf in Deutschland

Die großen Supermarkt- und Discounter-Ketten in Deutschland verkaufen längst nicht mehr nur Lebensmittel. Ihr Sortiment hat sich deutlich erweitert und umfasst inzwischen auch Versicherungen, Mobilfunktarife und Reisen. Kaufland bietet seit diesem Monat erstmals Versicherungen an. Das Unternehmen kooperiert dabei mit dem Online-Versicherer DA Direkt, einer Tochter der Zurich-Gruppe, und startet zunächst mit Zahnzusatzversicherungen und Tierschutz. Fotos und Mobilfunk etabliert Fotoentwicklung gehört schon lange zum Standard-Service der großen Händler. Edeka, Lidl, Aldi, Rewe und Kaufland bieten alle die Online-Bestellung von Fotos mit anschließender Abholung in der Filiale an. Auch eigene Handytarife führen inzwischen alle großen Ketten. Dazu gehören Edeka, Netto, Rewe, Penny, Norma, Aldi, Lidl und Kaufland. Die Mobilfunk-Angebote haben sich als fester Bestandteil des erweiterten Sortiments etabliert. Rewe als einziger Reiseveranstalter Urlaubsreisen können bei fast allen großen Händle...

Einzelhandel 2025: Kaufzurückhaltung bremst Umsätze

Viele Einzelhändler in Deutschland sind mit großen Hoffnungen ins Jahr 2025 gestartet, wurden aber bislang enttäuscht. Sie kämpfen weiterhin mit den alten Problemen, allen voran der Kaufzurückhaltung der Verbraucher. Das mit Abstand größte Problem: Viele Menschen in Deutschland achten stark aufs Geld und halten sich beim Einkaufen spürbar zurück. «Die Haushalte sparen aus Vorsicht und Vorsorge», sagt Stefan Genth, Hauptgeschäftsführer des Handelsverbandes Deutschland (HDE). Verbraucher stark verunsichert Die Lebenshaltungskosten seien weiterhin hoch, erklärt Genth. Zudem gebe es bei Verbrauchern eine große Angst, dass Kriege und Konflikte eskalieren. Kaum etwas deutet darauf hin, dass es bald eine Wende geben könnte. Wie schwerwiegend die Lage ist, zeigt eine Umfrage des Handelsforschungsinstituts IFH Köln. Rund 1.000 Menschen wurden im Mai repräsentativ befragt. Die Hälfte fühlt sich durch die Wirtschaftskrise demnach stark verunsichert. Händler berichten von schlechter Geschäftslage ...

JZ-App

Dieses Blog durchsuchen