Kritische AirPlay-Sicherheitslücke betrifft auch CarPlay und smarte Geräte

Im Frühjahr entdeckten Experten der israelischen Sicherheitsfirma Oligo Security ein gravierendes Problem im AirPlay-Protokoll von Apple. Über diese Schnittstelle lassen sich Inhalte wie Musik, Videos oder Podcasts von iPhone, iPad oder Mac an Lautsprecher, Fernseher und Streaming-Boxen übertragen. Doch genau hier öffnete sich ein gefährliches Einfallstor für Angreifer.

Wer sich im gleichen WLAN wie ein Apple-Gerät befand, konnte die Schwachstelle unter bestimmten Umständen ausnutzen. Apple selbst reagierte zügig und veröffentlichte Updates für iOS, iPadOS, macOS und den HomePod. Doch die Situation ist komplizierter: Auch Hersteller von kompatiblen Empfängern – etwa Anbieter von Smart Speakern oder HiFi-Anlagen – müssen ihre Software nachrüsten. Laut Berichten benötigen diese Unternehmen jedoch deutlich mehr Zeit als Apple selbst, manche Geräte könnten sogar dauerhaft ungepatcht bleiben.

Besonders brisant: Auch Apple CarPlay ist betroffen. Die Technologie überträgt Apps vom iPhone per Videostream auf das Infotainmentsystem im Auto – ebenfalls auf Basis von AirPlay. So entsteht eine potenzielle Schwachstelle direkt im Fahrzeug.

Fachleute von Oligo Security warnen, dass in einigen Automodellen sogenannte Zero-Click-Angriffe möglich sind. In solchen Szenarien genügt es, wenn sich das Gerät eines Angreifers mit dem Bordnetz verbindet. Im schlimmsten Fall könnten Unbefugte sogar Root-Rechte erlangen, ohne dass Fahrer oder Nutzer etwas davon bemerken.

Gefährdet sind Systeme, die ältere Software Development Kits verwenden: AirPlay Audio vor Version 2.7.1, AirPlay Video vor 3.6.0.126 und CarPlay Communication Plug-in vor R18.1. Sowohl WLAN- als auch Bluetooth-Verbindungen können dabei ausgenutzt werden. Ob auch kabelgebundene Varianten betroffen sind, ist bislang unklar. Klar ist jedoch, dass Autohersteller selbst nachbessern müssen – wann und in welchem Umfang, steht derzeit offen.

Während sich ein iPhone oder Mac mit wenigen Klicks aktualisieren lässt, gestaltet sich die Lage in der Fahrzeugwelt schwieriger. Manche Updates erfolgen zwar „over the air“, in vielen Fällen müssen jedoch Werkstattbesuche oder manuelle Installationen per USB-Stick eingeplant werden. Nutzerinnen und Nutzer sollten deshalb genau prüfen, ob ihr Autohersteller bereits passende Patches angekündigt hat, um nicht dauerhaft mit einem offenen Sicherheitsrisiko unterwegs zu sein.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!