Apple, Android und Linux: Angreifer können per Bluetooth Befehle einschleusen
Der Einsatz der Bluetooth-Technologie gehört heute für viele Menschen zum Alltag. Ein Softwareingenieur hat darin Schwachstellen entdeckt, durch die sich auf anfälligen Systemen Tastatureingaben einschleusen lassen. Betroffen sind verschiedene Versionen von macOS, iOS und Linux sowie Android-Versionen der letzten elf Jahre.
Authentifizierung lässt sich umgehen
Entdecker der Schwachstellen ist Marc Newlin, ein Mitarbeiter des US-amerikanischen Softwareunternehmens Skysafe, der vor Jahren schon mal für die Entdeckung eines Angriffsvektors namens MouseJack aufgefallen war.
Wie Newlin in seinem auf GitHub veröffentlichten Bericht erklärt, kann ein Angreifer die Bluetooth-Authentifizierung eines Zielsystems wohl umgehen und somit eine Verbindung aufbauen, ohne dass der Nutzer dies bestätigen muss. Dies sei sogar ohne spezielle Hardware möglich. Alles, was für einen solchen Angriff benötigt werde, sei ein einfacher Linux-Rechner mit einem handelsüblichen Bluetooth-Adapter.
Sobald die Verbindung hergestellt sei, könne der Angreifer Tastatureingaben einschleusen und damit verschiedene Aktionen ausführen wie etwa das Installieren neuer Apps, das Weiterleiten von Nachrichten oder das Ausführen beliebiger Befehle. Die einzige Voraussetzung dafür sei, dass die auszuführende Aktion keine zusätzliche Authentifizierung auf dem Zielgerät erfordere – beispielsweise durch eine Passworteingabe oder das Scannen eines Fingerabdrucks.
macOS, iOS, Linux und Android sind angreifbar
Der Softwareingenieur behauptet, er habe die Schwachstellen zuerst auf macOS und iOS entdeckt, wo deren Ausnutzung sogar dann möglich sei, wenn der Besitzer den Lockdown-Modus aktiviert habe. Weitere Untersuchungen hätten jedoch gezeigt, dass auch verschiedene Linux- und Android-Versionen anfällig seien. Aus diesem Grund ging Newlin zunächst davon aus, dass kein spezifischer Implementierungsfehler vorlag, sondern ein generelles Problem im Bluetooth-Protokoll. Nach dem Lesen der Bluetooth-HID-Spezifikation habe er jedoch festgestellt, dass es eine Kombination aus beidem war.
Je nach Betriebssystem gibt es verschiedene Voraussetzungen, die erfüllt sein müssen, damit die als CVE-2023-45866 registrierte Angriffsmethode funktioniert. Unter Android muss dafür ausschließlich die Bluetooth-Schnittstelle aktiviert sein. Unter iOS und macOS gelingt der Angriff angeblich nur, wenn zusätzlich ein Magic Keyboard gekoppelt ist. Auf Linux-Systemen, wo der Bluetooth-Stack via BlueZ implementiert ist, muss die Bluetooth-Schnittstelle aktiv und zugleich für andere Geräte sichtbar sein.
Mehrere Systemversionen getestet
Newlin hat mehrere Geräte auf Ausnutzbarkeit der Schwachstellen getestet und die Ergebnisse in seinem Bericht geteilt. Als anfällig gelten demnach mindestens die Ubuntu-Versionen 18.04, 20.04, 22.04 und 23.10 sowie iOS 16.6. Weitere Tests hat er mit zwei MacBooks durchgeführt, einem MacBook Air aus dem Jahre 2017 mit macOS 12.6.7 (Intel) sowie einem MacBook Pro von 2022 mit macOS 13.3.3 (M2). Beide waren angreifbar.
Etwas umfangreicher fielen die Tests mit Android-Geräten aus. Anfällig war dabei selbst die im Jahr 2012 veröffentlichte Version 4.2.2, aber ebenso verschiedene Google-Smartphones (Pixel und Nexus) mit Android 6.0.1, 10, 11, 13 und 14.
Patches gibt es, aber…
Mit technischen Details hält sich Newlin bisher noch zurück, diese werde er erst auf einer „kommenden Konferenz“ veröffentlichen. Welche das sein wird, lässt er noch unbeantwortet. Die Zurückhaltung erfolgt aber sicherlich nicht ohne Grund, denn Patches lassen in einigen Fällen noch auf sich warten.
So gebe es für Linux-Systeme zwar schon seit 2020 einen wirksamen Patch (via CVE-2020-0556), diesen habe man jedoch standardmäßig deaktiviert. „ChromeOS ist das einzige Linux-basierte Betriebssystem, von dem bekannt ist, dass es den Fix aktiviert hat, obwohl er ebenso von Ubuntu, Debian, Fedora, Gentoo, Arch und Alpine angekündigt wurde“, so der Softwareingenieur. Für BlueZ gebe es aber inzwischen einen weiteren Patch, mit dem jener von 2020 per Default aktiviert werde.
Für die Android-Versionen 11 bis 14 hat auch Google einen Patch für CVE-2023-45866 bereitgestellt und das Problem im Android-Sicherheitsbulletin für Dezember 2023 als kritisch eingestuft. „Für die Ausnutzung ist keine Benutzerinteraktion erforderlich“, hebt der Konzern darin außerdem hervor. Bis das Update sämtliche Endverbraucher erreicht, dürfte aber noch einige Zeit vergehen – insbesondere für jene, die keine Pixel-Geräte verwenden. Für ältere Android-Geräte dürfte darüber hinaus gar kein Patch mehr zu erwarten sein, sodass diese dauerhaft anfällig bleiben.
Laut The Register hat Apple Newlins Entdeckungen ebenfalls bestätigt, bisher aber keinen Termin für die Bereitstellung von Patches für iOS und macOS genannt.
BLUFFS gefährdet verschlüsselten Datenverkehr
Erst in der vergangenen Woche hatte ein Sicherheitsforscher von der französischen Forschungseinrichtung Eurecom eine Reihe von Bluetooth-Angriffstechniken vorgestellt und diese unter der Bezeichnung BLUFFS zusammengefasst. Damit gelang es dem Forscher, sich Zugriff auf den verschlüsselten Datenverkehr einer Bluetooth-Verbindung zu verschaffen und diesen per Man-in-the-Middle-Attacke sogar teilweise in Echtzeit zu manipulieren.