BMW hat sich zu fehlenden Patches für eine problematische Sicherheitslücke in AirPlay und CarPlay geäußert. Laut Angaben des Unternehmens gegenüber Mac & i haben bestimmte Fahrzeuge „inzwischen einen Patch per Over-the-Air Update oder ab Werk“ erhalten. Die Sache hat allerdings einen Haken: Es sind nur Autos, die über Operating System 8.5 oder Operating System 9 verfügen beziehungsweise auf diese aktualisiert werden können.

Sicherheitsrisiko „äußerst gering“

Im Frühjahr war bekannt geworden, dass sich in AirPlay (und damit auch in CarPlay) Fehler befinden, die die Übernahme von Unterhaltungselektronik erlauben, darunter auch Car-Entertainment-Systeme. Die Lücke namens „Pwn My Ride“ steht noch in einer ganzen Reihe von Fahrzeugen offen. Einem Besitzer eines i3s hatte der Kundendienst mitgeteilt, dass für dieses Fahrzeug kein Patch verfügbar gemacht wird. Begründet wurde dies mit einem „äußerst geringen“ Sicherheitsrisiko – weil Angreifer ihr Gerät per Bluetooth zunächst mit dem Auto koppeln müssen.

Auf einen ähnlichen Standpunkt stellt sich BMW noch immer. „Ein Ausnutzen der Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt. Dieser Kopplungsprozess setzt jedoch sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus.“ Dieser mehrstufige Prozess stelle sicher, „dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen“ sei, behauptet der Konzern – wobei dazu ein gültiger Fahrzeugschlüssel im Innenraum ausreicht, eine Passwortsicherung oder Ähnliches gibt es für das Bluetooth-Setup nicht. BMW betonte weiterhin, dass man „seit mehreren Jahren verschiedenste Sicherheitskonzepte“ einsetze, „unter anderem zur Isolation von Prozessen“ sowie „Einschränkungen der Berechtigungen auf das Nötigste“. Daher erhalte ein Angreifer durch Ausnutzung der Sicherheitslücke „keine Root-Rechte auf dem Steuergerät“. Was sich dennoch anfangen lässt, bleibt allerdings unklar. „Angesichts dieser strengen Voraussetzungen und der stark limitierten möglichen Aktionen für einen Angreifer wird das Sicherheitsrisiko für unsere Kunden als äußerst gering eingeschätzt.“

Für welche Fahrzeuge es Patches gibt

Die „Automotiv-Cyber-Security-Einheit“ des Konzerns nehme „jede potenzielle Bedrohung äußerst ernst“ – so auch diese. „Unmittelbar nach Bekanntwerden der Sicherheitslücke haben unsere Experten diese eingehend untersucht.“ Das führte dann zur Entscheidung, Patches für die Betriebssysteme 8.5 und 9 bereitzustellen.

Dabei handelt es sich um Mittel- und Oberklassenmodelle in den Varianten 3er, 4er, 5er (inklusive i5), 7er (inklusive i7), X5, X6, X7, iX, XM (Operating System 8.5) sowie um Kompaktklassenmodelle der Varianten 1er, 2er, 2er Active Tourer, X1, X2, X3 (Operating System 9). Der Rollout dieser Systeme begann im Sommer 2023. Der i3 ist nicht abgedeckt. „Der Entwicklungsaufwand für die Absicherung des Patches auf der Headunit des i3 steht in keinem Verhältnis zum äußerst geringen Risiko für unsere Kunden“, so ein Sprecher.

(bsc)

Der Treiber von Qualcomms Adreno GPU ist löchrig und gefährdet die Sicherheit verschiedener Dell-Laptops. Ein reparierter Treiber steht zum Download bereit.

Sicherheitsproblem

Aus einer Warnmeldung des Computerherstellers geht hervor, dass die Entwickler das Sicherheitsproblem in Qualcomm Adreno X1-85/X1-45 Graphics Driver 31.0.121.0 gelöst haben. Alle vorigen Ausgaben sollen angreifbar sein. Die Updates sind bereits seit Dezember 2025 verfügbar, die Meldung dazu ging aber erst jüngst online. Dell gibt an, dass davon die folgenden Modelle betroffen sind:

• Inspiron 14 5441
• Inspiron 14 7441
• Latitude 5455
• Latitude 7455
• XPS 13 9345

In einem Beitrag von Qualcomm gibt es weiterführende Informationen zu den geschlossenen Schwachstellen (CVE-2025-47343 „hoch“, CVE-2025-47356 „hoch“). Dort können Angreifer jeweils auf einem nicht näher ausgeführten Weg für Attacken ansetzen und Speicherfehler auslösen. Das führt gewöhnlich zu Abstürzen. Oft gelangt in so einem Kontext aber auch Schadcode auf Systeme und kompromittiert diese. Bislang gibt es keine Hinweise auf Attacken.

(des)

Bösartige Akteure haben mittels Scraping durch Instagram-Zugriffsschnittstellen (APIs) Daten von 6,2 Millionen Nutzerinnen und Nutzern des Dienstes abgegriffen und in einem Untergrundforum angeboten. Nun sind sie in der Datenbank des Have-I-Been-Pwned-Projekts (HIBP) gelandet und lassen sich dort auffinden. Zudem sind rund 672.000 Datensätze von Nutzern des Untergrundforums BreachForums dort gelandet.

Das meldet Betreiber Troy Hunt auf der Have-I-Been-Pwned-Webseite. Demnach hat ein Nutzer in einem Untergrundforum einen Datensatz mit 17 Millionen Einträgen von öffentlich zugreifbaren Instagram-Informationen angeboten. Die Daten sollen über Instagram-APIs mittels Scraping abgegriffen worden sein und aus dem Jahr 2024 stammen. Sie umfassen Nutzernamen, Anzeigenamen, Konto-IDs und in einigen Fällen geografische Daten. „Von diesen Einträgen enthielten 6,2 Millionen eine E-Mail-Adresse und einige zudem eine Telefonnummer“, schreibt Hunt. „Es gibt keine Hinweise darauf, dass Passwörter oder andere sensible Informationen kompromittiert wurden“.

Solche Informationen lassen sich insbesondere außerhalb Deutschlands leicht für SIM-Swapping-Angriffe missbrauchen, bei denen Kriminelle die Mobilnummer von Opfern kapern und damit dann Einkäufe oder andere kriminelle Aktionen tätigen. In Deutschland sind Provider unter Umständen haftbar, weshalb sie Maßnahmen ergreifen, sodass SIM-Swapping hierzulande kein signifikantes Problem darstellt.

Das Leck mit den älteren Daten hat jedoch nichts damit zu tun, dass Instagram-Nutzerinnen und Nutzer derzeit Passwort-Rücksetz-Anfragen erhalten. Laut Instagram geht das auch nicht auf einen Einbruch in die Server des Dienstes zurück, sondern darauf, dass Fremde solche Passwort-Reset-E-Mails anfordern konnten. Betroffene sollen diese E-Mails ignorieren.

BreachForums-Nutzerdaten ebenfalls geleakt

Zudem kam es bei BreachForums respektive Nachfolgeinkarnationen davon nach der erfolgreichen Übernahme durch Strafermittler im April vergangenen Jahres zu einem Datenleck im August 2025. Hunt schreibt auf der HIBP-Webseite dazu, dass 672.000 E-Mail-Adressen in allen Tabellen der Datenbank, einschließlich der Forenbeiträge und privater Nachrichten, enthalten sind. Die Nutzer-Tabelle umfasst allein 324.000 E-Mail-Adressen, Nutzernamen und Argon2-Passwort-Hashes.

Interessierte können auf der HIBP-Webseite ihre E-Mail-Adressen überprüfen und anzeigen lassen, in welchen Datenlecks sie aufgetaucht sind. Einen vergleichbaren Dienst bietet das Hasso-Plattner-Institut mit dem Identity Leak Checker an, der ebenfalls Informationen aus diversen Datenlecks sammelt.

(dmk)