Kein Patch im BMW: ”Pwn My Ride“-Lücke in CarPlay und AirPlay bleibt bestehen
Letzten Herbst wurden Lücken in der AirPlay-Implementierung diverser Geräte entdeckt – auch in CarPlay. Daran wird sich bei einigen Marken wohl nichts ändern.
Apple CarPlay: Autohersteller sehen keinen Patch-Bedarf.
(Bild: Apple)
Kein Patch trotz teurem Schlitten: BMW hat sich offenbar dazu entschlossen, für seine Car-Entertainment-Systeme keine Fehlerbehebungen für die sogenannte Pwn-My-Ride-Lücke an die Kundschaft zu geben. Das im Frühjahr 2025 entdeckte Problem ist massiv, betrifft Apples Streamingprotokoll AirPlay sowie bei Fahrzeugen auch CarPlay – und kann zur Übernahme ganzer Geräte genutzt werden. Apple hatte seine eigene Hardware verhältnismäßig schnell gepatcht, doch viele Anbieter von Unterhaltungselektronik mit AirPlay- und CarPlay-Fähigkeit zogen entweder nicht nach oder brauchten Monate. Im September hieß es etwa, dass noch zahlreiche Autohersteller betroffen sind. Unklar war zum damaligen Zeitpunkt, welche Marken Patches ganz unterlassen. Das wird nun langsam deutlich.
BMW-Experten sehen „äußerst geringes“ Risiko
Ein Mac & i-Leser, der einen BMW i3s besitzt, der im Februar 2024 übernommen wurde, versuchte seit vielen Monaten, eine Antwort vom Hersteller zu bekommen. Nachdem bei Werkstatt und Kundenservice wenig auszurichten war, wendete er sich an das BMW-Beschwerdemanagement. Das Ergebnis war ernüchternd. Zwar räumte BMW ein, dass das Fahrzeug von der grundsätzlichen Lücke (CVE-2025-24132) betroffen ist. Allerdings sieht der Konzern keine Gefahr.
Videos by heise
Man habe das Leck „kurz nach Veröffentlichung“ von „unseren Experten“ prüfen lassen. Dabei ergab sich dann Folgendes: „Die gemeldete Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt.“ Dieser Kopplungsprozess setzte sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus. „Dieser mehrstufige Prozess stellt sicher, dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen [ist].“ Angesichts dieser „strengen Voraussetzungen“ wird „das Sicherheitsrisiko für unsere Kunden als äußerst gering“ eingeschätzt.
„Klarheit und Sicherheit“ ohne Patch
Und da das Ausnutzen der Sicherheitslücke „von unseren Security-Experten als äußerst gering eingeschätzt“ wurde, sei eben „kein weiteres Software-Update für Ihr Fahrzeugmodell geplant“. Er hoffe, „dass diese Erklärung Klarheit und Sicherheit in Bezug auf die bestehenden Maßnahmen zum Schutz der Kundensicherheit bietet“, so der Bearbeiter weiter. Der Mac & i-Leser ist mit der Entscheidung nicht einverstanden: „Für meine Wenigkeit trägt das Verhalten von BMW nicht zur Kundenbindung bei.“
Tatsächlich lässt sich die Entscheidung BMWs nur schwer nachvollziehen. Zur Anwendung eines potenziellen Exploits – also der Übernahme des Car-Entertainment-Systems mit möglicherweise schweren Folgen – reicht es aus, physischen Zugriff (also samt Schlüssel) auf das Fahrzeug zu haben. Die Kopplung ist weder durch ein Nutzerpasswort geschützt noch auf andere Art – das kennt man etwa aus Mietfahrzeugen, in denen zig Bluetooth-Profile zu finden sind. BMW reagierte auf eine Anfrage an die Pressestelle zunächst nicht. Mit „Pwn My Ride“ ist ein Root-Zugriff auf das Unterhaltungssystem samt aller sich daraus ergebender Möglichkeiten verbunden: Von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionage. Die Firma Oligo, die das Problem entdeckt hat, veröffentlichte dazu mehrere recht beeindruckende Beispiele, die auch über CarPlay laufen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
