„Pwn My Ride“-Lücke: BMW liefert Patch für bestimmte Fahrzeuge

BMW hat sich zu fehlenden Patches für eine problematische Sicherheitslücke in AirPlay und CarPlay geäußert. Laut Angaben des Unternehmens gegenüber Mac & i haben bestimmte Fahrzeuge „inzwischen einen Patch per Over-the-Air Update oder ab Werk“ erhalten. Die Sache hat allerdings einen Haken: Es sind nur Autos, die über Operating System 8.5 oder Operating System 9 verfügen beziehungsweise auf diese aktualisiert werden können.

Sicherheitsrisiko „äußerst gering“

Im Frühjahr war bekannt geworden, dass sich in AirPlay (und damit auch in CarPlay) Fehler befinden, die die Übernahme von Unterhaltungselektronik erlauben, darunter auch Car-Entertainment-Systeme. Die Lücke namens „Pwn My Ride“ steht noch in einer ganzen Reihe von Fahrzeugen offen. Einem Besitzer eines i3s hatte der Kundendienst mitgeteilt, dass für dieses Fahrzeug kein Patch verfügbar gemacht wird. Begründet wurde dies mit einem „äußerst geringen“ Sicherheitsrisiko – weil Angreifer ihr Gerät per Bluetooth zunächst mit dem Auto koppeln müssen.

Auf einen ähnlichen Standpunkt stellt sich BMW noch immer. „Ein Ausnutzen der Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt. Dieser Kopplungsprozess setzt jedoch sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus.“ Dieser mehrstufige Prozess stelle sicher, „dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen“ sei, behauptet der Konzern – wobei dazu ein gültiger Fahrzeugschlüssel im Innenraum ausreicht, eine Passwortsicherung oder Ähnliches gibt es für das Bluetooth-Setup nicht. BMW betonte weiterhin, dass man „seit mehreren Jahren verschiedenste Sicherheitskonzepte“ einsetze, „unter anderem zur Isolation von Prozessen“ sowie „Einschränkungen der Berechtigungen auf das Nötigste“. Daher erhalte ein Angreifer durch Ausnutzung der Sicherheitslücke „keine Root-Rechte auf dem Steuergerät“. Was sich dennoch anfangen lässt, bleibt allerdings unklar. „Angesichts dieser strengen Voraussetzungen und der stark limitierten möglichen Aktionen für einen Angreifer wird das Sicherheitsrisiko für unsere Kunden als äußerst gering eingeschätzt.“

Für welche Fahrzeuge es Patches gibt

Die „Automotiv-Cyber-Security-Einheit“ des Konzerns nehme „jede potenzielle Bedrohung äußerst ernst“ – so auch diese. „Unmittelbar nach Bekanntwerden der Sicherheitslücke haben unsere Experten diese eingehend untersucht.“ Das führte dann zur Entscheidung, Patches für die Betriebssysteme 8.5 und 9 bereitzustellen.

Dabei handelt es sich um Mittel- und Oberklassenmodelle in den Varianten 3er, 4er, 5er (inklusive i5), 7er (inklusive i7), X5, X6, X7, iX, XM (Operating System 8.5) sowie um Kompaktklassenmodelle der Varianten 1er, 2er, 2er Active Tourer, X1, X2, X3 (Operating System 9). Der Rollout dieser Systeme begann im Sommer 2023. Der i3 ist nicht abgedeckt. „Der Entwicklungsaufwand für die Absicherung des Patches auf der Headunit des i3 steht in keinem Verhältnis zum äußerst geringen Risiko für unsere Kunden“, so ein Sprecher.

(bsc)