PerfektBlue: Bluetooth-Lücke in Entertainment-Systemen von Mercedes, Skoda & VW

    PerfektBlue: Bluetooth-Lücke in Entertainment-Systemen von Mercedes, Skoda & VW
    Die Bluetooth-Schwachstellenkombination mit dem Spitznamen "PerfektBlue" schlägt gerade Wellen. Sie betrifft Fahrzeuge von Mercedes, Skoda & VW.
    www.heise.de


    Spannend


    Die IT-Sicherheitsforscher haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die PAC-Mitarbeiter. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.


    Weiß jemand, ob MIB3 im Enyaq verbaut wurde und bis wann?

    Beim Enyaq ist es identisch mit den ID und Cupramodellen: icas3. Was hier fehlt ist die Angabe welche Softwareversion anfällig ist, könnte z.b. sein dass mit dem me 3.8.1 Update der Fix eingespielt wird, oder dass alle Enyaqs/Elroqs ab einem bestimmten Produktionsdatum sichersind.

    80 - blau - Loft - Infotaimaint Basic - Convenience BASIC - Transport

    Im Artikel von Golem (https://www.golem.de/news/merc…faehrdet-2507-198007.html) wird auf die Website von PAC verlinkt (https://perfektblue.pcacybersecurity.com/). Beim ICAS3 sind die Versionen 0561 und 0792 betroffen. Ich habe mal gegoogelt und das sollten 3.2 und 2.1 sein. Die 2er sollten eigentlich auf 3.7 geupdatet sein. Bei den 3.2 wäre die Frage ob die bereits durch OTA geupdatet wurden oder von Skoda zum Update eingeladen worden sind.

    Skoda Enyaq iV 80X: 08/22, Wärmepumpe, AHK, "Schwarzbraun ist die Haselnuss" --> außen schwarz, braunes Leder (ecoSuite)

    Plus: Convenience, Fahrassistent, Infotainment

    Basis: Klima, Licht&Sicht, Sitzkomfort

    Danke 1

    0792 ist eine sehr frühe Version beim Enyaq, ich hatte sogar noch die 0790 drauf. Vor 3.0 gab es auch noch die 0795. Die 0561 war doch aber die damals lang ersehnte 3.0, wenn ich mich recht erinnere... 🤔

    Auf jeden Fall sollten diese Versionen aber mittlerweile updatebar sein.

    Gefällt mir 1

    So oder so: Das wird gerade heißer gekocht als es ist:

    Zitat von Heise
    Sofern Firmen, die das BlueSDK nutzen und ein sehr niedriges Sicherheitsprofil oder "Just Works"-SSP-Modus dafür konfigurieren, ließen sich die Lücken ohne vorheriges Pairing missbrauchen – jedoch sind Bluetooth-Geräte ohne Pairing absolut selten. Das machen die PKW-Hersteller auch nicht. Dort ist Bedingung, dass ein Angreifer-Gerät mit dem Infotainment-System gekoppelt wird.

    Also ja, stopfen sollte man es, aber die Lücke ist in der Realität alles andere als kritisch.

Liebe/r Besucher/in des Enyaq-Forum. Wir würden uns freuen, wenn du etwas zum obigen Thema beitragen möchtest.

Hier klicken, um ein kostenloses Benutzerkonto im Enyaq Forum anlegen

Bereits 12236 Mitglieder sind dabei und tauschen erste Informationen rund um das neue Elektro SUV Enyaq von Skoda aus! Viel Spaß :)