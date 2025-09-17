Anzeige
Millionen Carplay-Autos von Sicherheitslücke betroffen – und das bleibt vielleicht so

Eine im Frühjahr entdeckte Sicherheitslücke steckt immer noch in vielen Fahrzeugen. Angreifer können damit das Infotainmentsystem des Autos übernehmen – sogar ohne Nutzerinteraktion. Hersteller müssen reagieren, tun es aber nur langsam.

2 Min.
Millionen Carplay-Autos von Sicherheitslücke betroffen – und das bleibt vielleicht so

Carplay, hier in einem Aston Martin. (Bild: Aston Martin)

Während Apple seine Betriebssysteme längst repariert hat, hinken die Autohersteller bei der Aktualisierung ihrer Fahrzeuge noch immer hinterher: Millionen Autos mit Apple Carplay sind von einer Sicherheitslücke im Airplay-Protokoll betroffen, über die Angreifer Zugriff auf das Infotainmentsystem erlangen können.

Während Apple die Lücke in seinen Betriebssystemen bereits im April geschlossen hat, bleiben viele Fahrzeuge weiterhin ungeschützt. Dies geht aus einem Forschungspapier der Sicherheitsexperten Uri Katz, Avi Lumelsky und Gal Elbaz von Oligo Security hervor.

Angriffe über WLAN und Bluetooth

Die Sicherheitsforscher haben die Angriffsmethode „Pwn My Ride“ genannt. Sie basiert auf einem Stack-Overflow-Fehler (einer Speicherverwaltungsschwäche) mit der Kennung CVE-2025-24132. Angreifer können die Schwachstelle ausnutzen, sobald ein Gerät mit dem Multimediasystem eines Autos verbunden wird.

Besonders problematisch: In vielen Fällen sind sogar Zero-Click-Angriffe möglich – das bedeutet, es ist keine Nutzerinteraktion erforderlich. Die Angriffe funktionieren sowohl über WLAN als auch über aktiviertes Bluetooth.

Weitreichende Folgen für die Fahrzeugsicherheit

Bei erfolgreichen Angriffen können Hacker Root-Rechte auf dem Infotainmentsystem erlangen. Mit diesen umfassenden Administratorrechten sind verschiedene Manipulationen möglich – von der Veränderung der Systemfunktionen über das Abgreifen persönlicher Daten bis hin zu Spionagemöglichkeiten.

In einem Demonstrationsvideo zeigen die Forscher, wie sie nach Anmeldung im WLAN-Hotspot eines Autos ein „Hacked“-Bild auf dem Bildschirm des Unterhaltungssystems platzieren konnten. Das bedeutet, dass sie die volle Kontrolle über das Infotainmentsystem haben. Einziger Trost: Angreifer müssen ihren Hack an das jeweilige Auto anpassen. Da jeweils viele betroffene Modelle auf den Straßen unterwegs sind, ist das aber nicht weiter schwierig.

Autobesitzer sollten ihren Händler kontaktieren

Das Problem zu beheben liegt nun in der Verantwortung der Autohersteller. Anders als bei Smartphones oder Computern, die regelmäßig über Funk aktualisiert werden, sind die Update-Zyklen bei Fahrzeugen deutlich länger und komplizierter.

„Im Gegensatz zu einem Smartphone oder Laptop, das über Nacht aktualisiert wird, sind die Aktualisierungszyklen bei Fahrzeugen langsam, fragmentiert und erfordern oft einen Besuch beim Händler oder eine manuelle Installation über USB“, erklären die Sicherheitsexperten von Oligo Security. Viele Fahrzeuge erhalten Firmware-Updates nicht drahtlos (Over-the-Air), sondern nur per USB-Stick oder in der Werkstatt. Bei einigen älteren Modellen ist es sogar fraglich, ob überhaupt noch Updates bereitgestellt werden.

Die Forscher betonen, dass die Herausforderung nicht nur darin besteht, den Fehler zu beheben, sondern sicherzustellen, dass jeder Hersteller, der Apples Airplay-SDK (Software Development Kit) nutzt, die Korrektur tatsächlich implementiert und an die Endnutzer weitergibt. Das heißt: Autobesitzer mit Carplay sollten am besten direkt auf ihren Händler zugehen.

