Hallo, wie finde ich die Versionsnummern vom AirPlay heraus?
Hintergrund ältere Versionen (AirPlay Audio SDK < 2.7.1, AirPlay Video SDK < 3.6.0.126, CarPlay Communication Plug-ins < R18.1) haben eine Sicherheitslücke.
Carplay Version
-
Schließe mich hier an... Kann man dies irgendwo überprüfen?
Und die viel wichtigere Frage: Wer muss, im Falle eines vollständigen HU Updates, die Kosten hierfür tragen? -
Was für eine Sicherheitslücke soll das sein?
Alternativ direkt an Apple wenden und ne Mail schreiben.
-
Verstehe auch den ganzen Aufriss darum nicht. Um die Lücke auszunutzen (welcher Schaden entsteht da eigentlich?) muss man in der Náhe eines Hackers sein, Bluetooth oder WLAN anhaben und dann das Fahrzeug nicht bewegen damit er seine Arbeit machen kann.
Einfach mal die “Kirche im Dorf lassen”, ich persönlich kann noch ganz gut schlafen.
Verantwortlich für das SDK ist übrigens Apple.
Erst müssen die das fixen und dann evtl. BMW in der Software. Da wird wohl Gras drüber wachsen.
-
Was für eine Sicherheitslücke soll das sein?
Alternativ direkt an Apple wenden und ne Mail schreiben.
Ich zitiere:
Zitat„Zwar hat Apple die Lücke bereits Ende April 2025 geschlossen und iOS, macOS, iPadOS sowie die HomePod-Software aktualisiert. Für AirPlay-fähige Geräte und die in Autos verbauten Headunits liefern viele Hersteller die Updates jedoch nur zögerlich oder gar nicht.„
[...]
„Je nach Modell sind dabei auch Zero-Click-Angriffe ohne Nutzerinteraktion möglich.“
CarPlay-Schwachstelle: AirPlay-Lücke betrifft Millionen FahrzeugeInfotainment-Systeme in modernen Autos verknüpfen das iPhone eng mit dem Fahrzeug. Dies birgt auch Risiken. Auf dem DefCon-Kongress stellten Forscher der…www.iphone-ticker.de -
Oligo Security hat in seiner „Pwn My Ride“-Analyse vorgestellt, wie die Schwachstelle in AirPlay Angreifern Zugriff auf Fahrzeugsysteme verschaffen kann.
Apple hat das gefixt (im Audio SDK ab 2.7.1, AirPlay Video SDK ab 3.6.0.126 und in den Communication Plug-ins ab R18.1)
Je nach Version sind aber auch sogenannte Zero-Click-Angriffe ohne Nutzerinteraktion möglich.
"A key focus was CVE-2025-24132, a stack buffer overflow vulnerability within the AirPlay protocol that is exposed when a device connects to the car’s multimedia system. We demonstrated several methods to reach the stage where this vulnerability can be triggered and ultimately exploited on devices...
“Not my code” ≠ “Not my problem”
When a vulnerability is discovered in a widely used SDK like Apple’s AirPlay, the challenge isn’t just fixing the bug – it’s ensuring every vendor that depends on the SDK actually implements the fix and gets it to end users. In cars, this is especially difficult. Unlike a phone or laptop that updates overnight, vehicle update cycles are slow, fragmented, and often require a dealership visit or manual USB install. Some head units support over-the-air (OTA) updates, but many still do not.
Even after Apple released a patched SDK, each automaker must adapt, test, and validate it for their own systems – coordinating across head-unit suppliers, internal software teams, and sometimes middleware providers. Each step introduces potential delays and requires robust collaboration"
Apple CarPlay Hacking Risks: CVE-2025-24132 Explained | Oligo SecurityAt DefCon, Oligo Security revealed critical Apple CarPlay vulnerabilities, including CVE-2025-24132 in the AirPlay SDK. Learn how attackers exploit iAP2 and…www.oligo.securityHat sonst was von der Heimautomatisierungswelle, wo viele Geräte halt ohne Patches vor sich hinalufen - offen wie ein Scheunentor.
-
Ich würde davon ausgehen das dies keinen Hacker interessiert. Viel Wind um Nichts.
Passend zur heutigen Zeit.
In paar Tagen ist dann Google dran, und übernächste Woche hat Microsoft eine Sicherheitslücke.
BMW hat womöglich zur Entwicklung von ID6 und ID7 ein ganz anderes SDK verwendet welches die Lücke überhaupt nicht enthält.
Gilt abzuwarten bis sich BMW offiziell dazu äußert.
