Cybersecurity-Experten von PCA Cyber Security haben vier kritische Sicherheitslücken im Bluetooth-Stack BlueSDK von OpenSynergy identifiziert. Diese unter dem Namen PerfektBlue zusammengefassten Schwachstellen betreffen Millionen von Fahrzeugen renommierter Automobilhersteller wie Mercedes-Benz, Volkswagen und Skoda und stellen eine ernsthafte Bedrohung für die Fahrzeugsicherheit dar.
Technische Charakteristika der PerfektBlue-Bedrohung
Die PerfektBlue-Schwachstellen ermöglichen 1-Click Remote Code Execution (RCE)-Angriffe, bei denen Angreifer mit minimalem Benutzeraufwand beliebigen Code auf den Fahrzeugsystemen ausführen können. Besonders alarmierend ist, dass Cyberkriminelle lediglich den Fahrzeugbesitzer dazu bringen müssen, eine Bluetooth-Kopplungsanfrage zu akzeptieren. Bei einigen Herstellern erfolgt die Kopplung sogar ohne explizite Benutzerbestätigung.
Die Forscher von PCA Cyber Security, die bereits über 50 Schwachstellen in Automobilsystemen im vergangenen Jahr aufgedeckt haben, führten ihre Analyse ausschließlich anhand kompilierter Binärdateien durch, ohne Zugang zum Quellcode zu haben. Diese Leistung unterstreicht die Expertise der Sicherheitsspezialisten im Bereich Reverse Engineering.
Bestätigte Angriffsvektoren und betroffene Fahrzeugmodelle
Die Wirksamkeit der PerfektBlue-Exploits wurde an realen Fahrzeugsystemen erfolgreich demonstriert. Konkret konnten die Sicherheitsforscher folgende Systeme kompromittieren:
Volkswagen ID.4 mit ICAS3-System, Mercedes-Benz Fahrzeuge mit NTG6-Plattform und Skoda Superb mit MIB3-Infotainmentsystem. In allen Testfällen gelang es den Experten, eine Reverse-Shell über TCP/IP zu etablieren, was weitreichende Möglichkeiten für Lateral Movement im Fahrzeugnetzwerk eröffnet.
Potenzielle Auswirkungen einer erfolgreichen Kompromittierung
Nach erfolgreicher Code-Ausführung im Kontext des Infotainmentsystems erhalten Angreifer Zugang zu sensiblen Fahrzeugfunktionen und -daten. Zu den möglichen Angriffsszenarien gehören:
Kontinuierliche GPS-Standortverfolgung, Abhören von Gesprächen im Fahrzeuginnenraum, Zugriff auf Kontaktdaten gekoppelter Smartphones sowie potenzielle Ausbreitung auf andere kritische Fahrzeugsubsysteme. Diese Kompromittierungstiefe birgt erhebliche Risiken für Datenschutz und Fahrzeugsicherheit.
Herstellerreaktionen und Patch-Management
OpenSynergy bestätigte die Existenz der Schwachstellen bereits im Juni 2024 und veröffentlichte entsprechende Patches im September. Allerdings gestaltet sich die Implementierung dieser Sicherheitsupdates in Fahrzeug-Firmware als langwieriger Prozess. Viele Automobilhersteller haben die Korrekturen noch nicht in ihre Systeme integriert, und einige große OEM-Hersteller wurden erst kürzlich über die Bedrohung informiert.
Volkswagen bestätigte die Einleitung von Untersuchungen nach Erhalt der Schwachstelleninformationen. Das Unternehmen betont, dass Angriffe nur unter spezifischen Bedingungen möglich sind und Angreifer sich in einem Radius von 5-7 Metern zum Fahrzeug befinden müssen. Zudem seien kritische Fahrzeugfunktionen wie Lenkung, Fahrassistenzsysteme, Motor und Bremsen durch separate Steuergeräte mit eigenen Sicherheitsmechanismen geschützt.
Kommunikationslücken bei anderen Herstellern
Trotz angemessener Reaktionszeit haben Mercedes-Benz und Skoda nicht auf die Schwachstellenmeldungen reagiert. Diese mangelnde Kommunikation wirft Fragen zur Bereitschaft dieser Unternehmen für proaktive Cybersecurity-Maßnahmen auf.
Reichweite der betroffenen Systeme
Der BlueSDK von OpenSynergy wird nicht ausschließlich in der Automobilindustrie eingesetzt. Die genaue Bestimmung aller betroffenen Produkte wird durch Anpassungen, Rebranding und mangelnde Transparenz in der Software-Lieferkette erschwert. Diese Faktoren komplizieren die Bewertung des tatsächlichen Bedrohungsumfangs erheblich.
Die vollständige technische Dokumentation der PerfektBlue-Schwachstellen soll im November 2025 veröffentlicht werden, was Entwicklern und Sicherheitsexperten ausreichend Zeit für Schutzmaßnahmen einräumt. Dieser Vorfall verdeutlicht die kritische Bedeutung zeitnaher Software-Updates in Fahrzeugsystemen und die Notwendigkeit verstärkter Kooperation zwischen Sicherheitsforschern und Automobilherstellern zum Schutz der Endnutzer.
