![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Im Blue SDK gibt es bekannte Schwachstellen, die unter dem Begriff \"PerfektBlue\" zusammen gefasst werden und eigentlich seit 2024 bekannt sind. Nun haben Sicherheitsforscher in einem Angriff auf die Entertainment-Systeme mittels Bluetooth nachgewiesen, dass Fahrzeuge von Mercedes, Volkswaren und Skoda immer noch angreifbar sind.<\/p>\n
<\/p>\n
Das Blue SDK wird auch von den Software-Entwicklern verschiedener PKW-Hersteller verwendet. Im Mai 2024 wurde OpenSynergy von PCA Cyber Security (ehemals PCAutomotive) \u00fcber eine Reihe potenzieller Schwachstellen (unter dem Begriff PerfektBlue zusammengefasst) im Blue SDK informiert. Laut dieser Information<\/a> hat OpenSynergy diese potenziellen Schwachstellen behoben und die entsprechenden Patches seinen Kunden im September 2024 zur Verf\u00fcgung gestellt.<\/p>\n Zum Problem wird der obige Sachverhalt, wenn Hersteller die bereinigte Version ihrer Blue SKD-Firmware nicht in ihre Produkte \u00fcbernehmen und die Sicherheitsupdates verschlafen oder sonst patzen. Denn die Blue SDK-Implementierung unterst\u00fctzt verschiedene Sicherheitsstufen f\u00fcr eingehende Verbindungen von Remote-Ger\u00e4ten. Es liegt in der Verantwortung des Endentwicklers, eine geeignete Autorisierungssicherheitsstufe f\u00fcr ein Bluetooth-Zielprofil auszuw\u00e4hlen.<\/p>\n Das PCA Security Assessment Team hat mehrere Schwachstellen (CVE-2024-45431, CVE-2024-45432, CVE-2024-45433, CVE-2024-45434) mit geringem bis kritischem Schweregrad identifiziert, die es einem Angreifer erm\u00f6glichen, mit einem 1-Klick-Angriff eine Remote Code Execution (RCE) im Betriebssystem eines Ger\u00e4ts, welches den BlueSDK Bluetooth-Stack verwendet, durchzuf\u00fchren. Mit dieser Zugriffsebene k\u00f6nnte ein Angreifer das System manipulieren, seine Privilegien ausweiten und auf andere Komponenten des Zielprodukts zugreifen.<\/p>\n Darauf haben die Sicherheitsforscher von PCA Cyber Security sich aktuelle Fahrzeuge, in denen der Blue SDK verwendet wird, angesehen. Dabei konnten sie erfolgreich Angriffe \u00fcber PerfektBlue auf die Infotainment-Systeme in Volkswagen ID.4 (ICAS3-System), Mercedes-Benz (NTG6) und Skoda Superb (MIB3) ausf\u00fchren.<\/p>\n Neben den bereits erw\u00e4hnten Anbietern sind wahrscheinlich auch viele andere, auch Anbieter au\u00dferhalb der Automobilindustrie (in obiger Tabelle als \"Undisclosed OEM\" aufgelistet), f\u00fcr diesen Angriff anf\u00e4llig.<\/p>\n Mittels\u00a0Remotecodeausf\u00fchrung auf dem Infotainmentsystem der Fahrzeuge k\u00f6nnten Angreifer die GPS-Koordinaten auslesen, Gespr\u00e4che im Fahrzeug belauschen, auf Telefonkontakte zugreifen und m\u00f6glicherweise zu kritischeren Subsystemen im Fahrzeug \u00fcbergehen. Das PCA Security Assessment Team hat die Erkenntnisse mit mehreren Details in diesem Beitrag<\/a> offen gelegt.<\/p>\n Bleeping Computer hat den Sachverhalt nach einem Hinweis in diesem Beitrag<\/a> aufgegriffen und schreibt, dass PCA Cyber Security Volkswagen, Mercedes-Benz und Skoda \u00fcber die Schwachstellen informiert und ihnen ausreichend Zeit gegeben haben, die Patches zu installieren. Laut Bleeping Computer haben die Forscher keine Antwort von den Herstellern erhalten und zum 7. Juli 2025 das Ganze \u00f6ffentlich gemacht.<\/p>\n BleepingComputer hat die drei Autohersteller um eine Stellungnahmen angefragt. Ein Sprecher von Volkswagen erkl\u00e4rte: \"Die Untersuchungen haben ergeben, dass es unter bestimmten Bedingungen m\u00f6glich ist, sich \u00fcber Bluetooth unberechtigt mit dem Infotainmentsystem des Fahrzeugs zu verbinden.\"<\/p>\n Dazu m\u00fcssten mehrere Bedingungen gleichzeitig erf\u00fcllt sein: Die Z\u00fcndung des Fahrzeugs muss eingeschaltet sein, und das\u00a0Infotainment System muss sich im Pairing-Modus befinden, d. h. der Fahrzeugnutzer muss aktiv ein Bluetooth-Ger\u00e4t koppeln. Weiterhin muss der Fahrzeugnutzer den externen Bluetooth-Zugriff des Angreifers auf dem\u00a0 Touchscreen aktiv genehmigen. Eine weitere Voraussetzung sei, dass sich der\u00a0Angreifer in einer maximalen Entfernung von 5 bis 7 Metern zum Fahrzeug befinden muss.<\/p>\n VW betonte, dass ein Hacker im Falle eines erfolgreichen Angriffs nicht in kritische Fahrzeugfunktionen wie Lenkung, Fahrerassistenz, Motor oder Bremsen eingreifen k\u00f6nne, da diese auf einem anderen Steuerger\u00e4t liegen, das durch seine eigenen Sicherheitsfunktionen gegen Eingriffe von au\u00dfen gesch\u00fctzt ist.<\/p>\n Mercedes hat gegen\u00fcber Bleeping Computer angegeben, im November 2024 \u00fcber den Sachverhalt informiert worden zu sein. Das Unternehmen habe die gemeldeten Erkenntnisse gr\u00fcndlich gepr\u00fcft und alle erforderlichen Ma\u00dfnahmen zur Risikominderung ergriffen. Open Synergy habe bereits das Update der BlueSDK-Bibliothek bereitgestellt, das auch \u00fcber Over-the-Air-Updates verf\u00fcgbar sei.<\/p>\n Insgesamt scheint die PerfektBlue-Schwachstelle zwar unsch\u00f6n, aber in ihren Auswirkungen eingrenzbar zu sein. Ob wirklich alle Randbedingungen gelten m\u00fcssen, die Bleeping Computer in der Antwort von VW auflistet, kann ich nicht beurteilen. Der Fall zeigt aber, welche Risiken bei modernen Fahrzeugen lauern – und die Fahrzeugbesitzer haben diese nicht auf dem Radar.<\/p>\n Alleine die Kopplung von Smartphones mit den Infotainmentsystemen von Mietwagen birgt doch schon die Gefahr, dass Kontakte und weitere Daten \u00fcbertragen und vom Mieter bei Fahrzeugr\u00fcckgabe nicht mehr gel\u00f6scht werden k\u00f6nnen.<\/p>\n Auf dem Hackerwettbewerb Pwn2Own 2025 gab es auch eine Kategorie \"Hacks von Automobilen\". Beim Pwn2Own Automotive 2025 entdeckten die Teilnehmer insgesamt 49 Zero-Day-Schwachstellen in Software-definierten Fahrzeugen (SDVs). Es ging dabei um die Kategorien: Infotainment-Systeme (IVI), Ladeger\u00e4te f\u00fcr Elektrofahrzeuge und Betriebssysteme, wie Trend Micro hier<\/a> berichtet.<\/p>\n Und zum 27. Juni 2025 bin ich bei The Register auf diesen Artikel<\/a> gesto\u00dfen. Das britische Sicherheitsunternehmen Pen Test Partners (PTP) hat sich einen Renault Clio (Baujahr 2016) als Testobjekt vorgenommen. Sie konnten auf Daten des Renault Clio zum Lenken, Bremsen und Beschleunigen zugreifen. Und zum 26. Juni 2025 hat heise in diesem Beitrag<\/a> offen gelegt, dass eine 0-day-Bluetooth-Schwachstelle das Abh\u00f6ren von Millionen Bluetooth-Kopfh\u00f6rern erm\u00f6glicht.<\/p>\n Noch eine ganz andere Gefahr lauert bei modernen Fahrzeugen, deren Lidar-Systeme die Kamerachips von Smartphones gef\u00e4hrden, wie man hier<\/a> nachlesen kann.\u00a0Aber die PKW-Hersteller und deren Branchenvordenker setzen verst\u00e4rkt auf Software Defined Vehicles – letztens las ich, dass dies der einzige Weg sei, die Margen der Hersteller zu erh\u00f6hen. Sch\u00f6ne neue Welt.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Im Blue SDK gibt es bekannte Schwachstellen, die unter dem Begriff \"PerfektBlue\" zusammen gefasst werden und eigentlich seit 2024 bekannt sind. Nun haben Sicherheitsforscher in einem Angriff auf die Entertainment-Systeme mittels Bluetooth nachgewiesen, dass Fahrzeuge von Mercedes, Volkswaren und Skoda … Weiterlesen Bei Blue SDK<\/a> handelt es sich um ein Software Development Kit des deutschen Herstellers OpenSynergy<\/a>. Blue SDK ist ein hochgradig anpassbarer, eingebetteter Bluetooth-Protokollstack, der von den Experten f\u00fcr die Entwicklung interoperabler Bluetooth-Stacks entwickelt wurde.\u00a0Das SDK erm\u00f6glicht fortschrittliches Audio-Streaming \u00fcber Bluetooth Low Energy und wurde f\u00fcr die Integration in Ger\u00e4te entwickelt.<\/p>\n
Mercedes, VW und Skoda von PefektBlue betroffen<\/h2>\n
![\"Blue](\"https:\/\/i.postimg.cc\/sDDGjVNx\/image.png\")
<\/p>\n![\"Fahrzeuge,](\"https:\/\/i.postimg.cc\/05tDJMmD\/image.png\")
<\/p>\nLaut VW begrenzte Angriffsm\u00f6glichkeit<\/h2>\n
Abschlie\u00dfende Gedanken<\/h2>\n