IT-Sicherheitsforscher haben eine kritische Kombination von Bluetooth-Sicherheitslücken entdeckt. Diese Sicherheitsmechanismen gibt es im OpenSynergy Bluetooth Protocol Stack (BlueSDK). Dieser wird in Infotainment-Systemen mehrerer Automobilhersteller eingesetzt. Die Forscher beschreiben die Lücken als potenzielle Angriffsmöglichkeiten durch Over-the-Air-Angriffe auf Millionen von Geräten. Laut den Experten ist die tatsächliche Gefährdung in der Vorschrift jedoch geringer als zunächst vermutet.
Aufdeckung der Schwachstellen
Ein Team von PCA Cybersecurity identifizierte die Schwachstellen in dem genannten Stack. Er findet nicht nur in der Automobilindustrie Anwendung, vielmehr ebenfalls in weiteren Geräten—speziell im IoT-Bereich. Bis September 2024 bestanden alles in allem vier Sicherheitslücken. OpenSynergy hat schon Patches entwickelt und an die betroffenen Hersteller weitergereicht.
Die vier kritischen Lücken
Die erste der identifizierten Lücken ist besonders schwerwiegend. Das BlueSDK kontrolliert die Existenz eines Objekts nicht ehe Operationen darauf durchgeführt werden. Diese sogenannte "Use-after-free-Lücke" ermöglicht die Ausführung von Schadcode. Auch der erhöhte CVSS-Wert von 8.0 weist auf die Gefährlichkeit hin. Eine separate Analyse von PAC Security bezeichnet diese Lücke hingegen als kritisch.
Zusätzlich gibt es eine Sicherheitsanfälligkeit die es Angreifern erlaubt, Sicherheitsprüfungen zu umgehen. Dies geschieht in der RFCOMM-Komponente und betrifft die Verarbeitung eingehender Daten. Diese Lücke hat einen CVSS-Wert von 5.7—das Risiko wird als mittel eingestuft.
Ein weiteres Problem entsteht durch eine fehlerhafte Variable in der RFCOMM die zu unerwartetem Verhalten oder Informationslecks führen kann. Die letzte identifizierte Lücke bezieht sich auf die L2CAP-Channel-ID die unzureichend überprüft wird. Angreifer könnten einen L2CAP-Kanal mit einem Null-Identifier anlegen was laut den Forschern jedoch nicht weiter erläutert wird. Der CVSS-Wert liegt an diesem Ort bei 3.5 und das Risiko wird als minimal eingestuft.
Betroffene Hersteller & Update-Politik
Die Sicherheitslücken wurden in Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) verifiziert. Auch andere Hersteller könnten betroffen sein. Es wurden gleichermaßen ältere gleichermaßen neue Geräte untersucht—beide weisen diese Schwachstellen auf. Die betroffenen Autohersteller planen ab September 2024 entsprechende Updates herauszugeben.
Die Aktualisierungen erfolgen gewöhnlich Over-the-Air, vorausgesetzt die Fahrzeugbesitzer haben die nötigen Verträge. Oft müssen Nutzer die Installation der Updates aktiv bestätigen. Wer keine OTA-Option hat, muss einen Werkstatttermin vereinbaren oder kann die Updates über USB installieren.
Einschätzung der Gefährdung
Die Anfälligkeit besteht primär für Unternehmen die das BlueSDK in einem niedrigeren Sicherheitsprofil oder im "Just Works"-SSP-Modus nutzen. Solche Konfigurationen erlauben Angreifern die Schwachstellen ohne im Vorausiges Pairing auszunutzen. Die Automobilhersteller selbst scheinen jedoch sicherere Einstellungen vorzunehmen.
Ein Volkswagen-Sprecher erklärt, dass die Sicherheitsarchitektur Hürden für Angreifer aufbaut—so müssen sie zunächst den Pairing-Modus aktivieren. Laut VW ist eine erfolgreiche Ausnutzung der Schwachstellen folglich unwahrscheinlich.
Kommentare
Vorsicht ist geboten
Sobald Angreifer die oben genannten Hürden überwinden, könnten sie Schadcode in den Infotainment-Systemen ausführen. VW betont; dass die Fahrzeugintegrität und die Sicherheit des Autos dabei nicht beeinträchtigt werden. Funktionen wie Lenkeinwirkungen oder Bremsen verbleiben vom Infotainment-System unverändert.
Aktuelle Beispiele zeigen, dass erfolgreiche Angriffe oft über das Infotainment-System erfolgen und sich breiter auswirken können. Auch wenn die Forscher skeptisch sind bezüglich der Wahrscheinlichkeit eines erfolgreichen Angriffs · sollten Fahrzeugbesitzer vordringlich ihre Firmware aktualisieren · um den potenziellen Risiken vorzubeugen.