Servus!

Folgender Sachverhalt:
Ich hab ein wunderschönes SonyEricsson T630, bekanntlicherweise hat das gute Stück eine Bluetooth-Schnittstelle. Vor ein paar Tagen hat ein Kumpel von mir ein bisl mit dem Handy rumgespielt und dann zeigte er mir etwas sehr verwunderliches! Er hat das gleiche Handy und konnte, wenn mein Handy Bluetooth eingeschaltet hatte von seinem Handy aus sämtliche Daten auslesen, d. h. er hatte urplötzlich alle Telefonnummern, SMS´, Fotos usw. von meinem Handy auf seinem Handy!
Der Lümmel wollte mir nicht sagen, wie das geht. Eigentlich ist mir das auch egal, aber wie ist das möglich? Schließlich ist das ja schon ein erhebliches Sicherheitsrisiko.

Da ich mir relativ sicher bin, nein, ich bin mir absolut sich, dass sowas nicht legal ist, erspart euch bitte genaue Beschreibungen oder Links zu etwaiger Software, ich will lediglich wissen, warum das geht! :)

hmmm..also könnte es vielelicht sein das du keinen Pin in deinem Handy hinterlegt hast den man eingeben muss um sich mit deinem Handy verbinden zu können bzw um die Geräte zu paaren wie es so heisst. Wenn dem so wäre dann würde es erklären warum dein Kumpel so einfach zugriff auf dein Handy bekommen hat

Das geht, weil Bluetooth-fähige Geräte sich standardmässig untereinander verständigen, die Bluetooth-Schnittstelle sieht das so vor. Deshalb gibt es keine Sicherheitsabfrage oder Ähnliches, und man kann mit den richtigen Gerätschaften gespeicherte Informationen aus anderen Bluetooth-Geräten auslesen, weil diese sie zur Verfügung stellen.

Mein Tip: Bluetooth abschalten!

Gruß,
the Interceptor

Warum das geht? Weil du eine Schnittstelle hast, die Daten senden und empfangen kann. Solange die Schnittstelle nicht abgeschaltet ist kann jeder von außen auf Handydaten zugreifen.

Dazu kam vor kurzem auch ein Test im Fernsehen, bei dem wahllos nach offenen Handyschnittstellen gesucht wurde (via Notebook mit Bluetooh Schnittstelle).

Fazit: bei jedem Handy kann auf Daten zugegriffen werden, wenn die entsprechende Schnittstelle nicht deaktiviert ist.

Wie schön es doch auch manchmal ist, wenn man in der Menschenmenge
(Innenstadt oder Schulhof) BT bei seinem PDA aktiviert. Es sucht automatisch
nach BT fähigen Geräten und liest voll automatisch die Namen der Geräte aus.
Alles ohne irgendwelche Zusatzsoftware. Braucht man nur noch entsprechende
Gegengerät aus zu wählen und man bekommt eine schöne Auswahl von neuen
Klingeltönen oder Bildern ;)
Aber immer mehr Leute nutzen ihr BT fähiges Handy, um z.B. mit dem Headset zu
telefonieren... alles nicht grad sicher und ein kinderleichtes Spiel, sich Zugang zu
verschaffen

Nun gut! Habe meine Bluetooth-Schnittstelle immer deaktiviert. War trotzdem überracht, dass dies so "mir nichts, dir nichts" geht!
Allerdings frage ich mich immer noch, wie das mit dem Handy geht, da beim T630 keine Funktion ist, um über Bluetooth Daten "einzufangen", sondern nur "senden" über Bluetooth geht, soweit ich weiß.

Nicht jedes Handy muß die volle Bluetooth-Funktionalität besitzen. Dein Modell kann vielleicht nicht Alles, was Bluetooth kann.

Gruß,
the Interceptor

Also ich kenne es nur so das ein Bluetooth gerät zwar anzeigt was er für geräte in der Umgebung so gibt aber wenn ich mich mit einem verbinden will halt erst einen Code eingeben muss......

Nicht jedes Handy muß die volle Bluetooth-Funktionalität besitzen. Dein Modell kann vielleicht nicht Alles, was Bluetooth kann.

Gruß,
the Interceptor
Das ist schon richtig, aber er hat das gleiche Handy, und er hat mit seinem Handy auf meins zugegriffen!

Dann mußt Du ihn halt noch ein bißchen bearbeiten (nicht verprügeln!), bis er Dir sagt, wie er das gemacht hat. Ich denke, daß er das nicht mit einer Zusatzsoftware gemacht hat, sondern mit der eingebauten Bluetooth-Funktionalität.

Gruß,
the Interceptor

Und sonst drohst du ihm ihn mit Zivilrechtlichen konsequenzen....ich bin zwar kein Jurist aber ich glaube das fällt unter das ausspähen von Daten und ist strafbar. ABer ich glaueb da gibts auch noch en reihe anderer bestimmungen:-)
Wie gesagt bin ich kein Jurist...bitet nicht schimpfen wenn das nicht stimmt was ich gesagt habe

Na, dann will ich nochmal ein bisl auf das Jüngchen "einwirken"! :D

Klar ist das nicht legal, wobei ich ja, wenn es jemand Fremdes wäre, ihn förmlich dazu eingeladen hätte.... Vorausgesetzt, ich hätte mein Bluetooth fahrlässigerweise immer an!

Das ganze ist schon alt.:
http://www.integralis.de/media/press_releases/2004/260304.html
http://www.integralis.de/media/press_releases/2004/120504PR.html
http://www.integralis.de/media/press_releases/2004/120504OM.html

War vor ein paar Monaten der große Hype in den Medien. Besorg dir ein Firmwareupdate für dein Handy viele Hersteller haben sofort reagiert.

"Lustig" ist auch die Möglichkeit über ein PDA Bluetooth-Handys ohne deren Einwilligung (wir haben das probiert, das war ECHT EINFACH!) als Gateway zu benutzen...so kann man dann ohne Probleme das Handy zu Anrufen zwingen. Die liessen sich dann auch nicht abbrechen.
Das einzige was ich tun konnte um einen 0190-Call von meinem Freund abzuwehren war Handy ausschalten :eek:

Also immer schön Bluetooth auslassen...:o wobei das ja auch zusätzlichen Strom zieht, was logischerweise einen negativen Effekt auf die Akku-Laufzeit hat... :o

Wenn ich diesen Thread so lese, kann ich nur den Kopf schütteln über die Handy-Hersteller:

Lassen die doch default-mässig Bluetooth ohne Passwort standardmässig aktiviert bei Fabrik-Konfiguration....! :(

Unerhört. Wenn man bedenkt dass dabei das Fernmelde-Geheimnis auf dem Spiel steht, ist es ja genauso schlimm wie die default-Einstellungen von windows die es einst offen machten wie ein Scheunentor... :(

Immer wieder das Gleiche:
windows, wlan, handy's... alles ist mit den Fabrik-Einstellungen unsicher? Wo bleibt die Sicherheitskultur der Hersteller?

OT-Cynical: Wann kommen die SP2's für die Bluetooth-fähigen Handy-Modelle ... ? ;)

Meines Wissens nach geht das nur mit Zusatzsoftware. Denn ich kann ohne Dateiexplorer ja nicht einmal alle Daten auf meinem Handy sehen (SX1). Nur mit Extratool geht das.
Und wenn Bluetooth auf "nicht sichtbar" steht, dann kann man das auch bedenkenlos anlassen, denn dann sehen andere Geräte dieses Handy nicht.
PIN´s gibt es nur für Geräte die gekoppelt werden müssen, also Headset, GPS-Mouse u.ä.
Allerdings hab ich auch schon von Software gehört die irgendwie Bluetooth-Wireless-LAN können/machen soll, wie immer das auch gehen mag..... Hat da jemand eine Erklärung???

Gruß
Olli

Also eine zusätzliche Software dafür nutzen ist nicht schwer, da das T630 soweit ich weiß
ein Java-fähiges Handy ist und somit Java-Applikationen ausführen kann.
Das einzige was man dann noch wissen muss ist wie man mittels
Java auf das BT-Interface zugreift.

Um sich davor zu schützen, kann man, so ist es zumindest beim S55, eine Pin
einrichten die AUCH beim "koppeln" zweier Handys abgefragt wird.


MfG

Matthias

Mir hat mal jemand gesagt, daß es sowas wie verschiedene Zonen im Bluetooth gibt. Trusted und untrusted. Bei trusted muß man den Zugriff eines anderen Gerätes erst auf dem Handy freischalten. Dann ist nur der Zugriff von diesem speziellen, freigeschaltetem Gerät möglich und auch nur für diese Session (zum Beispiel das eigene Headset). Aus bequemlichkeit machen aber einige dieses Feature aus. Somit ist man verwundbar.

denke mal das er sich für sein handy auf deinem handy eine art acount angelegt hat! das ging bei dem handy meines bruder zum beispiel, da konnte man geräten in der umgebung ein passwort zuteilen usw.! und dann mit dem jeweiligen gerät und dem entsprechenden password konnte man dann auf das handy zugreifen!
schau mal nach ob du bei den bluetooth einstellungen etwas ähnliches findest vielleicht hat er sich ja einfach nur einen acount für sein handy auf deinem angelegt!

toller thread... aber ein weiterer grund warum ich mir zweimal überleg ein neues handy zuzulegen. :rolleyes

@KL0k
kannst dir ruhig ein neues handy kaufen mußt bloß daran denken bluetooth zu deaktivieren dann ist das alles kein thema!

Um sich davor zu schützen, kann man, so ist es zumindest beim S55, eine Pin
einrichten die AUCH beim "koppeln" zweier Handys abgefragt wird.


MfG

Matthias


Endlich mal einer der sich auskennt und sein Handy im Griff hat, ich wolltes auch schon mal schreiben, war nur zu faul, war mir zu viel Text.

Das geht, weil Bluetooth-fähige Geräte sich standardmässig untereinander verständigen, die Bluetooth-Schnittstelle sieht das so vor. Deshalb gibt es keine Sicherheitsabfrage oder Ähnliches, und man kann mit den richtigen Gerätschaften gespeicherte Informationen aus anderen Bluetooth-Geräten auslesen, weil diese sie zur Verfügung stellen.

Mein Tip: Bluetooth abschalten!

Gruß,
the Interceptor

Das stimmt aber nicht!
Es gibt Geräte, die haben BT-Sicherheitslücken. Aber im Normalfall kommen beim Zugriff Sicherheitsabfragen, es gibt aber wohl Möglichkeiten diese bei manchen Handies auszuhebeln. Das hat oft was mit zu wenig Speicherplatz für die Session-Key Verwaltung zu tun. Irgendwo habe ich eine Doku gefunden, die das genauer beschreibt. Da könnt ich nochmal nachgucken falls nötig.

Bei Symbian OS-Handies geht das übrigens nicht., die sind in dieser Hinsicht bislang noch wasserdicht.

Guckst Du hier wegen der Liste der Anfälligkeiten
http://www.integralis.de/media/press_releases/2004/120504OM.html

Linus