Sicherheitsforscher haben eine gefährliche Bluetooth-Schwachstelle bei Mercedes, VW und Skoda entdeckt. Millionen Fahrzeuge sind betroffen. IT-Sicherheitsexperten haben eine kritische Schwachstelle in den Entertainment-Systemen von Millionen deutscher Autos aufgedeckt. Die Lücke betrifft Fahrzeuge der Marken Mercedes-Benz , Volkswagen und Skoda und ermöglicht es Hackern, über Bluetooth in die Bordcomputer einzudringen. Das Forschungsteam der Firma PCA Cyber Security hat vier Sicherheitslücken in einem weit verbreiteten Bluetooth-System namens BlueSDK entdeckt, berichtet das Technikportal "BleepingComputer". Dieses System stammt vom Unternehmen OpenSynergy und wird in zahlreichen Fahrzeug-Entertainment-Anlagen verwendet. Angriff erfordert Nutzer-Zustimmung Für einen erfolgreichen Angriff müssen dem Bericht zufolge mehrere Bedingungen erfüllt sein. Der Angreifer müsse sich in unmittelbarer Nähe des Fahrzeugs befinden – maximal fünf bis sieben Meter entfernt. Zudem müsse die Zündung eingeschaltet sein und das Entertainment-System sich im Kopplungsmodus befinden. Entscheidend ist jedoch: Der Fahrzeugbesitzer muss der Verbindung mit dem Gerät des Angreifers aktiv zustimmen. Volkswagen betonte, dass Hacker auch bei einem erfolgreichen Angriff nicht in kritische Fahrzeugfunktionen eingreifen könnten. Kritische Fahrzeugfunktionen bleiben geschützt Außerdem betrifft die Sicherheitslücke ausschließlich das Entertainment-System. Wichtige Fahrzeugfunktionen wie Lenkung, Bremsen oder Motorsteuerung können laut Herstellerangaben nicht manipuliert werden, schreibt "BleepingComputer". Diese Systeme laufen auf separaten Steuergeräten mit eigenen Sicherheitsvorkehrungen. Gelingt einem Angreifer dennoch der Zugriff auf das Entertainment-System, könnte er theoretisch den Fahrzeugstandort verfolgen, Mikrofone abhören oder Kontaktdaten auslesen. Die Forscher demonstrierten ihre Angriffsmethode erfolgreich an Entertainment-Systemen von Mercedes-Benz, Volkswagen und Skoda. Patches bereits verfügbar OpenSynergy hat die Sicherheitslücken bereits im September 2024 geschlossen und entsprechende Updates an die Autohersteller verteilt. Die Forscher machten ihre Entdeckung erst jetzt öffentlich, um den Herstellern ausreichend Zeit für die Verteilung der Patches zu geben. Die Sicherheitsforscher entdeckten die Schwachstelle auch bei einem vierten, nicht genannten Automobilhersteller. Diesen wollen sie erst im November 2025 öffentlich benennen, da das Unternehmen noch nicht genügend Zeit für Gegenmaßnahmen hatte. Fahrzeugbesitzer können sich schützen, indem sie verdächtige Kopplungsanfragen ablehnen und die Bluetooth-Funktion deaktivieren, wenn sie nicht benötigt wird. Außerdem sollten sie sicherstellen, dass ihre Fahrzeuge die neuesten Software-Updates erhalten haben.
9 std vor
