## Schwachstelle in Yadea T5 E-Bikes entdeckt Sicherheitsforscher haben eine kritische Schwachstelle in **Yadea** T5 E-Bikes identifiziert, die es böswilligen Akteuren ermöglichen könnte, die Fahrzeuge zu stehlen. Die Schwachstelle, **CVE-2025-70994**, beruht auf einem schwachen Authentifizierungsmechanismus, der die Fahrräder anfällig für Signal-Spoofing macht. ### Technische Details Die Schwachstelle liegt im Authentifizierungsprozess des schlüssellosen Zündsystems des Fahrrads. Ein lokaler Angreifer, der legitime Übertragungen des Schlüsselanhängers abfängt, kann gefälschte Signale senden, um das Fahrrad zu entriegeln und zu starten. Laut der **Cybersecurity and Infrastructure Security Agency (CISA)** kann eine erfolgreiche Ausnutzung dieser Schwachstelle direkt zum Diebstahl des Fahrzeugs führen. Das betroffene Produkt ist: * Yadea T5 Electric Bicycle: Versionen all/*  ### CVSS-Score und betroffene Produkte Die Schwachstelle hat einen CVSS v3-Score von 7,3, was auf eine hohe Schwere hinweist. Die folgende Tabelle fasst die wichtigsten Details zusammen: | CVSS | Vendor | Equipment | Vulnerabilities | | :---- | :----- | :------------------------- | :-------------------- | | v3 7.3 | Yadea | Yadea T5 Electric Bicycle | Weak Authentication | Die Common Weakness Enumeration (CWE), die mit dieser Schwachstelle verbunden ist, ist CWE-1390, welche sich speziell mit schwacher Authentifizierung befasst. ### Auswirkungen * **Kritische Infrastruktursektoren:** Transportsysteme * **Eingesetzte Länder/Regionen:** Weltweit * **Standort der Unternehmenszentrale:** China ### Abhilfemaßnahmen und Empfehlungen Obwohl zum Zeitpunkt der Erstellung dieses Berichts keine spezifische Patch- oder Firmware-Aktualisierung von **Yadea** veröffentlicht wurde, empfiehlt die **CISA** Organisationen, empfohlene Cybersicherheitsstrategien für eine proaktive Verteidigung zu implementieren. Dazu gehören: * Implementierung von Defense-in-Depth-Strategien. * Überwachung auf verdächtige Netzwerkaktivitäten. * Befolgung etablierter interner Verfahren und Meldung von Erkenntnissen an die **CISA** zur Nachverfolgung und Korrelation mit anderen Vorfällen. Die **CISA** bietet weitere Anleitungen und empfohlene Praktiken auf ihrer ICS-Webseite. ### Danksagungen Ashen Chathuranga hat diese Schwachstelle an **MITRE** und **CISA** gemeldet. ### Referenzen * [CISA ICS webpage](https://www.cisa.gov/ics) * [CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) * [CWE-1390](https://cwe.mitre.org/data/definitions/1390.html)