ComputerBase Menü
Aktuelles

News Apple, Android und Linux: Angreifer können per Bluetooth Befehle einschleusen

0x8100 schrieb:
beispiel von vor 2 wochen: ich geh zu einer packstation...
Zum Vergrößern anklicken....
Wobei ich mir bei einer Packstation durchaus die Frage stelle ob es unbedingt Bluetooth sein muss. Reicht da nicht NFC für diesen Zweck?
NFC ist deutlich schwieriger abzuhören, weil die Reichweite im Zentimeterbereich liegt.
 
@WinnieW2 reine vermutung: bluetooth hat auch das billigste phone, nfc nicht unbedingt. und bei der packstation geht es auch nicht ums abhören, die schickt nur beacons. das phone ist nicht mit der station gekoppelt.
 
Aber selbst wenn es Updates für Smartphones, Tablets, Notebooks und PCs geben wird, für wieviele Peripherie-Gerätschaften wird es kein solches Update geben,
und man nur die Wahl hat zwischen unsichere Verbindungen zu diesen zu akzeptieren oder neue Peripherie-Gerät kaufen.
Ergänzung ()

0x8100 schrieb:
@WinnieW2 reine vermutung: bluetooth hat auch das billigste phone, nfc nicht unbedingt. und bei der packstation geht es auch nicht ums abhören, die schickt nur beacons. das phone ist nicht mit der station gekoppelt.
Zum Vergrößern anklicken....
Ok, ich kann mich irren, aber haben die meisten Smartphonemodelle nicht mittlerweile NFC?
 
WinnieW2 schrieb:
Ok, ich kann mich irren, aber haben die meisten Smartphonemodelle nicht mittlerweile NFC?
Zum Vergrößern anklicken....
siehe geizhals:
1702075830278.png


das ist stand heute, du musst auch an die alten telefon im umlauf denken. zumal bei diesem use-case die höhere reichweite von bluetooth sogar gewünscht sein wird. die leute müssen das telefon nirgendwo ranhalten und weil bluetooth meistens an ist, bekommen sie gar nicht mit was im hintergrund läuft. die meisten machen sich ja keine gedanken, wie etwas funktioniert - hauptsache es funktioniert :) man hat so einfach weniger supportaufwand, wo man den leuten erklären muss, wie sie das ganze bedienen müssen und was sie dafür brauchen.
 
  • Gefällt mir
Reaktionen: Unnu und Mcr-King
PTS schrieb:
in meinen bekanntenkreis gibt es auch niemanden der mal schwerwiegend hacked wurde oder sonstiges, ihr macht wie gesagt aus ner Ameise nen elefanten aber jeder wie er mag.
Zum Vergrößern anklicken....
Das ist ja schön für dich und deinen "Bekanntenkreis". Auf der anderen Seite könnte man auch hier im Forum aktiv sein und regelmäßig lesen, dass irgendwer seinen Account gehackt bekam.
Oder man könnte auch in tendenziell sicherheitskritischen Bereichen unterwegs sein. Dort sind solche Lücken durchaus gefährlich, insbesondere für Tablets und Smartphones, wo immer häufiger Klinken-Anschlüsse für Bluetooth-Alternativen gestrichen werden.

PTS schrieb:
aber hauptsache das geld banken anvertrauen die teilweise noch mit windows98 ihre sicherheit bewahren hust da sagt ja auch niemand was ne?
Zum Vergrößern anklicken....
Und du traust auch keinen Krankenhäusern, oder was? :freak:
Du willst gar nicht wissen, in wie vielen Einrichtungen und Organisationen scheinbar veraltete Systeme eingesetzt werden, weil diese dort eingesetzt werden müssen.
Und selbst dann macht es gewaltige Unterschiede, ob und vor allem wie diese Systeme mit dem Internet kommunizieren. Es gibt mehr als genügend Möglichkeiten, um OT-Devices vor Schadsoftware zu schützen, obwohl das OS seit Jahren keinen offiziellen Support mehr erhält.

Man sollte keine Birnen mit Pferdeäpfeln vergleichen. Klaffende Lücken auf Geräten, wo praktisch die gesamten Leben (Kennwörter, Banking, Fotos, Berufliches, etc.) der Nutzer darüber laufen, sind für das Individuum ein deutlich gravierenderes Problem als ein Bankautomat, der vielleicht durch einen Bug Geld ausspucken könnte.
 
  • Gefällt mir
Reaktionen: Project 2501, Unnu, SeppoE und 2 andere
Am schlimmsten ist wohl Android betroffen ansonsten ist es bei MacOS noch recht wahrscheinlich das die Voraussetzungen für den Exploit erreicht werden und es gibt noch keinen Patch.

Bei den Linux distros ist es weniger kritisch da es bereits einen Patch gibt welcher nur aktiviert werden muss und bei IOS ist es nicht kritisch weil da niemand ein Magic Keyboard anschließen wird.
 
Tjoa... ich schalte Bluetooth ein, steige in mein Auto, höre Musik, fahre iwo hin, steige aus, schalte Bluetooth ab.
Hab zum glück keine Smartwatch die dauerhaft verbunden sein muss.

BTW ist dabei Bluetooth BLE auch betroffen? oder nur das normale?

PTS schrieb:
come on, wie oft wurdest du schon gehacked in deinem leben? :D
Zum Vergrößern anklicken....
Woher will man das bitte wissen?
PTS schrieb:
..und der nachteil bleibt der gleiche, gar keiner ;) daher wayne?
Zum Vergrößern anklicken....
Stimmt...
wenn dein PC im Hintergrund als Botnetz agiert und andere seiten DDOSs'ed hast du ja keine Probleme oder ? daher wayne?

WinnieW2 schrieb:
ob es unbedingt Bluetooth sein muss. Reicht da nicht NFC für diesen Zweck?
Zum Vergrößern anklicken....
in 90% der Fälle wird aber NFC nur benutzt um eine Bluetooth verbindung aufzubauen. Da NFC unterirdisch langsam ist.
 
Haldi schrieb:
Stimmt...
wenn dein PC im Hintergrund als Botnetz agiert und andere seiten DDOSs'ed hast du ja keine Probleme oder ? daher wayne?
Zum Vergrößern anklicken....

um ein botnet drauf zu haben muss man sich schon was selbst einfangen, dafür ist kein hacker oder ne sicherheitslücke nötig XD und das würde ich auch merken, davon abgesehen.

und ddos-attacken verteidigt mein router ;) das hat nichts mit dem pc zu tun aber gut, ich merke schon du hast sehr viel Ahnung von der Materie..
 
PTS schrieb:
um ein botnet drauf zu haben muss man sich schon was selbst einfangen, dafür ist kein hacker oder ne sicherheitslücke nötig XD
Zum Vergrößern anklicken....
An dem Satz ist so viel krumm, dass gleich das nächste
PTS schrieb:
und das würde ich auch merken, davon abgesehen.
Zum Vergrößern anklicken....
doch stark zu bezweifeln ist. Klar, man muss sich was einfangen, aber natürlich geht das auch über Sicherheitslücken, ggf. ungewollt oder unbemerkt und im ärgsten Fall durch direkte Einwirkung einer anderen Person. Und das musst du nicht zwingend bemerken, da sich, sollte dein Rechner Teil eines Botnetzes sein, ja keine weitere Attacke gegen dich richtet, im Gegenteil, der Rechner soll ja unbemerkt Dinge tun.
PTS schrieb:
und ddos-attacken verteidigt mein router ;)
Zum Vergrößern anklicken....
Ja, auf dich gerichtete. Nach draußen darf dein Netz fröhlich feuern.
PTS schrieb:
das hat nichts mit dem pc zu tun aber gut
Zum Vergrößern anklicken....
Doch, völlig egal ob PC, Smartphone oder smartes Thermostat, befallen sein kann grundsätzlich alles, was Zugang zum Netzwerk/Internet haben kann.
PTS schrieb:
ich merke schon du hast sehr viel Ahnung von der Materie..
Zum Vergrößern anklicken....
Ich bemerke da bei dir eher uninformierte Sorglosigkeit.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Unnu, Xiaolong, Termy und 5 andere
0x8100 schrieb:
in dem fall ist mir jetzt nichts passiert (und seit dem ist bluetooth auch default aus), aber du kannst mal raten, wie lange es dauert, bis der typ mit dem neuen exploit unterwegs ist und dort wartet, wo die leute bluetooth aktivieren müssen.
Zum Vergrößern anklicken....

Mir wurde einfach so zum ersten Mal ein Paket an eine Packstation gebracht. Ich habe keine App dafür und werde mir keine downloaden. Der Verkäufer meinte, es geht auch ohne. Ratel mal wer recht hatte^^. Das ist auch ein Grund, warum auf meinem Smartphone keine zusätzliche App läuft, die nicht von Android vorinstalliert ist. Kein WA, nichts. Auch die Arbeit hat schon gefragt wegen ner Fortbildungsapp. Auch das habe ich abgehnt, da mein Handy privat bleibt. Wenn mal was passiert, heißt es immer, der Nutzer sei schuld. Auch wenn er nichts dafür kann, hat er den Nachteil (Identitätsdiebstahl und so weiter).
 
  • Gefällt mir
Reaktionen: Unnu
Berlinrider schrieb:
Insofern Grüße an alle die sich fragen warum ein Smartphone mehr als 200€ kosten kann. Software wird immer komplexer und Patcht sich nicht von selbst.
Zum Vergrößern anklicken....
Ich halte es eher für eine architektonische Schwäche, wenn solche Dinge nicht direkt vom OS Hersteller ausgeliefert werden können oder aus einem generellen Repository kommen, sondern über gerätespezifische Images, die extra dafür gebaut werden müssen.
 
  • Gefällt mir
Reaktionen: Unnu, AlphaKaninchen und drago-museweni
m4c1990 schrieb:
Hm, hat also einen Vorteil, dass ich Bluetooth ausschalte, sobald ich es nicht mehr nutze :D
Wozu soll der Kram grundlos funken...
Zum Vergrößern anklicken....
Tja, ist nur das Problem wenn man always-on-devices wie eine Smartwatch hat, die ständig mit dem Phone verbunden sein möchte.

Haldi schrieb:
Tjoa... ich schalte Bluetooth ein, steige in mein Auto, höre Musik, fahre iwo hin, steige aus, schalte Bluetooth ab.
Zum Vergrößern anklicken....
Das ist natürlich möglich, aber da hätte ich irgendwie gar kein Bock drauf, auch wenn es nur ein Klick in den Schnelleinstellungen ist.
Es würde natürlich die Sicherheit erhöhen, gerade wenn der Autoschlüssel eben auch über das Bluetooth vom Smartphone läuft. Aber die Hersteller-App meckert auch erst mal, wenn man BT ausschaltet, dass der Schlüssel dann nicht funktioniert, logisch.

Das sind halt so Einsatzszenarien, bietet BT da mehr Angriffsvektoren als die bisherige keyless-go-Technologie bei den meisten anderen Herstellern?

UWB wäre wahrscheinlich die sicherere Alternative, wird ja auch bei ersten eingesetzt, allerdings haben das bisher nur wenige Smartphones, während BT mit quasi jedem Smartphone funktioniert.

Komfort oder Sicherheit, das war schon immer der Handel den man eingehen muss in der IT-Welt. Höherer Komfort bringt weniger Sicherheit und mehr Sicherheit bringt weniger Komfort. Beispielsweise 2FA.

Hoffen wir einfach, dass der Fix möglichst schnell für alle ausgerollt wird und gut ist.
Das zeigt wie wichtig es ist, ein halbwegs aktuelles Smartphone zu haben das auch noch Updates bekommt.
 
m4c1990 schrieb:
Hm, hat also einen Vorteil, dass ich Bluetooth ausschalte, sobald ich es nicht mehr nutze :D
Wozu soll der Kram grundlos funken...

@0x8100 Packstation nur mit Bluetooth? Ist die App/Optischer-Scanner Kombi so viel teurer für DHL?^^
Zum Vergrößern anklicken....
ist bei uns im Raum Bielefeld auch immer mehr Mode... die "alten" Dinger mit Display und Scanner verschwinden immer mehr aufgrund irgendwelcher Idioten die diese Displays dann zerstören...

und neu wird hier bei uns grundsätzlich nur per BT aufgebaut
 
  • Gefällt mir
Reaktionen: Kenshin_01
Rassnahr schrieb:
Am schlimmsten ist wohl Android betroffen
Zum Vergrößern anklicken....
Vermutlich. Allerdings ist bei Android doch standardmäßig die Sichtbarkeit nur aktiv, wenn man im Bluetooth-Menü ist, oder täusche ich mich da?
 
@LuxSkywalker Man könnte fast vermuten, dass die Angreifer es selbst erzwingen, dass da diese BT Stationen hinkommen. Ein seltsamer Zufall...
 
Termy schrieb:
Vermutlich. Allerdings ist bei Android doch standardmäßig die Sichtbarkeit nur aktiv, wenn man im Bluetooth-Menü ist, oder täusche ich mich da?
Zum Vergrößern anklicken....
Bei Android heißt es doch aber das es reicht wenn Bluetooth aktiviert ist, nur bei BlueZ unter Linux muss es auch sichtbar sein.

Unter Android muss dafür ausschließlich die Bluetooth-Schnittstelle aktiviert sein
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Unnu, tomgit, Termy und eine weitere Person
Ups, das habe ich wohl überlesen :freak:

Noch ein Grund, auf Googles Alleingänge zu schimpfen :D
 
  • Gefällt mir
Reaktionen: Rassnahr
PTS schrieb:
come on, wie oft wurdest du schon gehacked in deinem leben? :D

ich wurde 1x in meinem leben gehacked wenn man das so nennen kann, und ich bin schon knapp 30 jahre im internet unterwegs.
Zum Vergrößern anklicken....
Dass Du nur einmal in Deinem Leben gehacked wurdest liegt an den Heerscharen von Entwicklern, die das Thema ernst nehmen und nicht an schulterzuckenden Leuten wie Dir.
 
  • Gefällt mir
Reaktionen: Unnu
0x8100 schrieb:
siehe geizhals:
Anhang anzeigen 1429665

das ist stand heute, du musst auch an die alten telefon im umlauf denken.
Zum Vergrößern anklicken....
Das habe ich, und mir dabei die Frage gestellt ob die erforderliche App für die Packstation (Post & DHL App) auf solch alten Geräten überhaupt läuft, oder ob eine Mindestversion von Android oder iOS vorausgesetzt wird. Laut Info wird min. Android Version 6 verlangt, aber für diese gibt es schon lange keine Sicherheitsupdates mehr, und das rechtliche Risiko der Verwendung liegt damit beim Nutzer.

0x8100 schrieb:
zumal bei diesem use-case die höhere reichweite von bluetooth sogar gewünscht sein wird. die leute müssen das telefon nirgendwo ranhalten und weil bluetooth meistens an ist,
Zum Vergrößern anklicken....
Die höhere Reichweite von Bluetooth ist ein potenzielles Sicherheitsrisiko, wie man hier lesen kann,
ausserdem bezweifle ich dass die meisten Nutzer Bluetooth permanent aktiviert haben.
Aber gut... ich kann mir das durchaus vorstellen dass die Leute alle Funktechnologien (Mobilfunk, WLAN und Bluetooth) permanent aktiviert lassen und sich dann über die schlechte Akkulaufzeit der Geräte beschweren. :rolleyes:
Ergänzung ()

Haldi schrieb:
in 90% der Fälle wird aber NFC nur benutzt um eine Bluetooth verbindung aufzubauen. Da NFC unterirdisch langsam ist.
Zum Vergrößern anklicken....
NFC schafft laut techn. Spezifikation bis zu 424 kbit/s an Übertragungsrate. Ist das unterirdisch langsam?
 
Zuletzt bearbeitet:
Irgendwie freut es mich das doch nicht alles so sicher ist wie gerne behauptet. Irgendwann kommt der Tag an dem die weltweiten Finanzmärkte gehackt werden und dann bin ich mal gespannt 🍿.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kim88
Leserartikel Entfessle Linux: Mit Distrobox Grenzenlosigkeit erleben
Antworten
7
Aufrufe
1.588
kim88
kim88
kim88
Leserartikel Pop!_OS ein Linux 🐧 das begeistert
2 3 4
Antworten
70
Aufrufe
24.559
kim88
kim88
DevPandi
Leserartikel Kühler- gegen Steckergate: DevPandis Hin und Her
2 3 4
Antworten
72
Aufrufe
16.386
Robman86
Robman86
merlin123
Leserartikel PinePhone manjaro - Erste Eindrücke und Erfahrungen
7 8 9
Antworten
163
Aufrufe
54.447
Linuxfreakgraz
Linuxfreakgraz
Old Knitterhemd
Software unter Linux
Antworten
15
Aufrufe
5.013
lanse
lanse

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz