ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Bluetooth: Sicherheitslücke bedroht Millionen Endgeräte

Aljoscha Reineking
25 Kommentare
Bluetooth: Sicherheitslücke bedroht Millionen Endgeräte
Bild: pixabay.com | CC0 1.0

Der allgemeine Pairing-Mechanismus von der Bluetooth-Schnittstelle weist eine Sicherheitslücke auf, welche es Angreifern ermöglicht, sich in die Funkverbindung einzuklinken, den Datenverkehr im Klartext mitzulesen und bei Bedarf sogar zu manipulieren.

Die Sicherheitslücke CVE-2018-5383 beschreibt eine fehlende Sicherheitsüberprüfung beim Pairing von Bluetooth-Geräten. Der eigentlich über kryptografische Mechanismen abgesicherte Vorgang nach dem Diffie-Hellman-Schlüsselaustausch (ECDH) wird nur unzureichend geprüft, was Angreifer ausnutzen können. Entdeckt wurde die Sicherheitslücke von zwei Forschern der Technischen Universität Israel (Technion).

Sicherheitslücke bei vielen Herstellern

Die entdeckte Bluetooth-Schwachstelle betrifft eine Vielzahl von namhaften Herstellern darunter Apple, Broadcom, Intel und Qualcomm. Es muss deshalb davon ausgegangen werden, dass gleich mehrere Millionen Endgeräte betroffen sind. Ausgenutzt wird dabei ein klassischer Man-in-the-Middle-Angriff, welcher es erlaubt den kompletten Datenverkehr zwischen zwei Bluetooth-Geräten zu kontrollieren. Um einen Angriff erfolgreich durchzusetzen, müssen beide Endgeräte die Sicherheitslücke vorweisen und der Angreifer physikalisch beim Pairing anwesend sein. Betroffen sind sowohl Secure Simple Pairing sowie LE Secure Connections des Bluetooth-Standards.

Erste Sicherheitsupdates von Apple

Mit neuen Treiber-Updates für die Bluetooth-Geräte kann die Lücke softwareseitig geschlossen werden. Die ersten Hersteller bieten entsprechende Updates bereits an, denn zum Teil sind sie bereits seit Jahresbeginn darüber informiert worden. Die aktuellsten Apple-Betriebssysteme beheben diese Sicherheitslücke mit:

• macOS High Sierra 10.13.5 • iOS 11.4 • watchOS 4.3.1 • tvOS 11.4

Intel hat ebenfalls reagiert und liefert neue, abgesicherte Bluetooth-Treiber für Windows und Linux aus. Microsofts Bluetooth-Stack soll von dieser Sicherheitslücke überhaupt nicht betroffen sein. Zu erwarten ist, dass die weiteren Hersteller in den nächsten Tagen neue Updates ausrollen werden, wann und ob die Updates allerdings bei den Endkunden ankommen, ist vor allem durch die Splitterung der Android-Updates noch völlig unklar.

Vorsorge durch die Bluetooth SIG

Mit Änderungen an den Protokollspezifikationen hat die Bluetooth Special Interest Group (SIG) sichergestellt, dass sich ein solcher Fehler nicht wiederholt. In der aktualisierten Spezifikation wird nun festgelegt, welche Krypto-Schlüssel bei einem Bluetooth-Pairing zu überprüfen sind.

25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz