News Windows: Unsichere Bluetooth-Geräte nach Juni-Update unbrauchbar

Maviapril2

Lieutenant
Dabei seit
Nov. 2008
Beiträge
594
@naniii In etwa so wie bei 32bit Apps fuer macOS, oder inkompatiblen Apps fuer iOS. Gute Idee, das wuerde bestimmt einiges an Aerger ersparen und Vorbereitungszeit ermoeglichen
 

SV3N

Bisher: RYZ3N
Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
9.159
Hm, mein Kopfhörer und der XBox Controller sind auch mobil.
Wenn man den weiterführenden Link in Microsofts Support-Dokument glauben schenken darf, geht es doch ausschließlich um Geräte mit Android.

Peripherie sollte somit doch ausgeschlossen sein. Oder verstehe ich das falsch?

In the Bluetooth Low Energy (BLE) specification, there is a provided example Long Term Key (LTK). If a BLE device were to use this as a hardcoded LTK, it is theoretically possible for a proximate attacker to remotely inject keystrokes on a paired Android host due to improperly used crypto. User interaction is not needed for exploitation. Product: Android. Versions: Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1 Android-9. Android ID: A-128843052.
Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2102

Jetzt wäre nur interessant zu wissen welche Geräte betroffen sind.
 

Hatsune_Miku

Commander
Dabei seit
Juli 2012
Beiträge
2.633
Kann man den Stick vorher irgendwie testen ob der mit dem neuen Update kompatibel ist ? Habe hier einen bald 15 Jahre alten BT 2.0 Stick von Hama der einwandfrei läuft. Will den ungerne wegschmeissen.
Auch liegen hier 2 neue mit 4.0 aber diese laufen nicht gescheit und haben ständig Disconnects. Brauch den auch nur für den DS3/4


Habe mich wohl verlesen, geht ja nur um die Endgeräte wie Soundbar gamepads etc.
Trotzdem wäre eine Übersicht seitens Microsoft empfehlenswert
 
Zuletzt bearbeitet:

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.477
@naniii
Ich denke eine Warnung mit ordentlicher Übergangsfrist (man muss immerhin ggf. ein Ersatzgerät besorgen) wäre das Mindeste gewesen, bevor man die Geräte komplett verbietet. Oder den Nutzern weiterhin die Wahl lassen und sie bei jedem verbinden nerven (=darauf hinweisen).
 

Cinderella22

Ensign
Dabei seit
Mai 2015
Beiträge
205
Und wie haben sich die Menschen vorgestellt soll man Bluetooth Lautsprecher Firmwaretechnisch updaten :O?
 

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.052
Viel Lärm um (fast) nichts, niemand weiß welche Geräte betroffen sind und vermutlich wird es wieder mal einen von 100000 betreffen. Aber mal fest auf Microsoft hindreschen weil die eine Sicherheitslücke schließen, wie können sie nur!
 

Der Nachbar

Commodore
Dabei seit
Aug. 2007
Beiträge
5.019
Bitte ein solches Treiber in den Wahnsinn Update für Windows 10 für Grafikarten, bitte für Grafikkarten. :D

Da wird Microsoft ganz dunkel in die Röhre schauen.

Es ist die Härte, wie Microsoft mit der Hardwarekompatibiltät und Funktionen seit Windows 10 umgeht und dabei sollte Microsoft genau wissen, wie komplex und teuer vernünftige Treiberentwicklung und Softwareunterstützung ist, die nicht nur generische Funktionen darstellt.

Billige Hardware hat doch längst den Markt überschwemmt und simple Controller Hardware hat ja den Zweck dem Kunden günstig und einfach den Zugang zu erlauben. Davon profitiert selbst Microsoft, weil Kunden Hardware mit Microsoft Software verbinden.

Wenn beispielhaft eine Kopplung mit einfacheren Android Smartphones und deren ungepflegten BT SoC Chipsätzen getrennt wird, dann wird Microsoft den Ruf bekommen nicht Android kompatibel zu sein, weil irgend ein Nutzer seine GPS Daten nicht vom Smartphone auf den PC übertagen kann und der Smartphone Hersteller so schon kein Update geliefert hat. Das wird noch lustiger bei den ganzen IoT Produkten.
 

rocketworm

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.058
Viel Lärm um (fast) nichts, niemand weiß welche Geräte betroffen sind und vermutlich wird es wieder mal einen von 100000 betreffen. Aber mal fest auf Microsoft hindreschen weil die eine Sicherheitslücke schließen, wie können sie nur!
Sehe ich auch so, aber ich erwarte da durchaus von Microsoft eine Liste mit betroffenen Geräten. Es scheint ja nicht nur alte Geräte zu betreffen.
 

new Account()

Commodore
Dabei seit
Mai 2018
Beiträge
4.109

areiland

Commodore
Dabei seit
Apr. 2010
Beiträge
4.509
...durch die unsichere Bluetooth-Geräte blockiert werden, die sich mit unsicheren Verschlüsselungskennwörtern verbinden möchten. Dies sind nach Angaben von Microsoft Schlüssel, die eigentlich eine sichere Verbindung verschlüsseln sollen, aber so weitläufig bekannt sind und eingesetzt werden, dass sie keinen effektiven Schutz mehr bieten...
Ich schätze mal, Microsoft blockiert ganz einfach die Geräte, von denen diese bekannten und tausendfach verwendeten Schlüssel gesendet werden und merkt sie sich. Das dürfte dann wohl vor allem Billigheimer betreffen, deren Hersteller es völlig wurscht war, wie sicher ihre BT Geräte sind. Und deshalb haben die immer den gleichen, aus dem Internet zusammengeklaubten, Schlüssel verwendet.

Wahrscheinlich darf man diese Produkte dann auch völlig legitim in die Kategorie "ohne Lizenz von einer Marke abgekupferte Kopie" einsortieren. Damit wäre hier dann also auch niemand gross betroffen, sondern höchstens ein paar "Sparfüchse" und dubiose Händler, die andere gerne mal über den Tisch ziehen.
 
Zuletzt bearbeitet:

silentdragon95

Lieutenant
Dabei seit
Apr. 2012
Beiträge
960
Demnächst dann: "Tut uns leid, aber Ihr Prozessor ist leider aufgrund von Sicherheutslücken nicht mehr mit Windows kompatibel. Klicken Sie hier, um Informationen zum Kauf eines neuen Computers zu erhalten."
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Mal wieder viele Kiddies und Trolle unterwegs.

MS schließt eine Sicherheitslücke. Auch für BT gibt es gewisse Standards (die NICHT MS definiert) und nur weil einige Hersteller wahrscheinlich bei ihrer Firmware hinsichtlich der BT-Spezifikationen schlichtweg gepfuscht haben, ist es nur Konsequent alle Geräte auszuschließen, die einen gewissen Sicherheitsstandard, welcher vor zahlreichen Jahren definiert wurde, nicht erfüllen.

Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
 

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.477
MS schließt eine Sicherheitslücke. Auch für BT gibt es gewisse Standards (die NICHT MS definiert) und nur weil einige Hersteller wahrscheinlich bei ihrer Firmware hinsichtlich der BT-Spezifikationen schlichtweg gepfuscht haben, ist es nur Konsequent alle Geräte auszuschließen, die einen gewissen Sicherheitsstandard, welcher vor zahlreichen Jahren definiert wurde, nicht erfüllen.

Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS? Dann hätte der Kunde das Gerät wenigstens gleich zurückgeben können. So konnte er es jahrelang nutzen und aus heiterem Himmel funktioniert es nicht mehr. Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
 

godapol

Lt. Commander
Dabei seit
Juli 2010
Beiträge
1.481
Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
danke an microsoft... seit dem update kann ich an meinem (geschäftlichen) L570 mein (geschäftliches) pixel 3 nicht mehr als telefon über procall verwenden...
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS? Dann hätte der Kunde das Gerät wenigstens gleich zurückgeben können. So konnte er es jahrelang nutzen und aus heiterem Himmel funktioniert es nicht mehr. Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
Ernsthaft? Warum werden wohl Sicherheitslücken bei MS, Apple, Linux, (also eigentl. allen) erst im Nachhinein geschlossen?
Es gibt gewisse Standards, welche nach etlichen Jahren von neuen Abgelöst werden, weil alte Sicherheitsmechanismen irgendwann geknackt werden. Siehe dazu zahlreiche Beispiele in der Verschlüsselung, RSA, SSLv1, SSLv2, SSLv3, TLSv1, etc. pp. - Mit anderen Verfahren verhält es sich genauso.
 

MaverickM

Fleet Admiral
Dabei seit
Juni 2001
Beiträge
19.952

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.500
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS?
Weil MS nicht mal den dümmsten Fall beim Hersteller vorausschauen kann. Wie kann man als Hersteller so selten dämlich sein und einen Schlüssel, der in der Spezifikation als Beispiel vorgegeben ist, fest in seiner Hardware verwenden? Anscheinend ist nicht mal Google (Linux?) von so einer Dummheit ausgegangen und hat den Schlüssel nicht gesperrt. Nicht umsonst wird im CVE vorrangig Android erwähnt und Windows mit keinem Atemzug.

Das erinnert an die Mausproblematik in 8.1, wo viele Hersteller einfach zu dumm sind die Dokus ordentlich zu lesen und sich dann wundern, dass irgendwas nicht richtig läuft und Microsoft zu Workarounds in ihrem eigenen OS genötigt wird, weil Drittanbieter zu dämlich sind.
Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
Ach komm schon, wirklich? Es wird sogar auf dem Silbertablett serviert!

791673


Damit meine ich die News, nicht den Eintrag im Event Log...
 

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.477
Ernsthaft? Warum werden wohl Sicherheitslücken bei MS, Apple, Linux, (also eigentl. allen) erst im Nachhinein geschlossen?
Es gibt gewisse Standards, welche nach etlichen Jahren von neuen Abgelöst werden, weil alte Sicherheitsmechanismen irgendwann geknackt werden. Siehe dazu zahlreiche Beispiele in der Verschlüsselung, RSA, SSLv1, SSLv2, SSLv3, TLSv1, etc. pp. - Mit anderen Verfahren verhält es sich genauso.
Das heißt der Bluetoothstandard hat ganz plötzlich eine Sicherheitslücke bekommen und MS musste unbedingt in Kamikazemanier darauf reagieren?

Weil MS nicht mal den dümmsten Fall beim Hersteller vorausschauen kann. Wie kann man als Hersteller so selten dämlich sein und einen Schlüssel, der in der Spezifikation als Beispiel vorgegeben ist, fest in seiner Hardware verwenden? Anscheinend ist nicht mal Google (Linux?) von so einer Dummheit ausgegangen und hat den Schlüssel nicht gesperrt. Nicht umsonst wird im CVE vorrangig Android erwähnt und Windows mit keinem Atemzug.
Wie man denn als OS-Hersteller so selten dämlich sein und so einen Beispielschlüssel nicht von Anfang an sperren oder zumindest eine Warnung einbauen? Du darfst auch gerne Google an den Pranger stellen. Ich frage mich nur inwiefern es das Versagen von MS besser macht.

Ach komm schon, wirklich? Es wird sogar auf dem Silbertablett serviert!
...
Damit meine ich die News, nicht den Eintrag im Event Log...
Erkläre mir wie der normale Nutzer dieses Silbertablett bekommt. Und zwar schon am Dienstag, denn da wurde der Patch ausgerollt.
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Wenn man den weiterführenden Link in Microsofts Support-Dokument glauben schenken darf, geht es doch ausschließlich um Geräte mit Android.

Peripherie sollte somit doch ausgeschlossen sein. Oder verstehe ich das falsch?



Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2102

Jetzt wäre nur interessant zu wissen welche Geräte betroffen sind.
Mit Android(-Geräten), welche diese Sicherheitslücke ausnutzen können, lassen sich Injections vornehmen. Woher soll aber Windows wissen, welches Gerät sich da gerade mit dem Beispiel-Key (LTK) der in der BLE Spezifikation angegeben war, verbindet?
BT ist ja lediglich lediglich die Verbindungsschnittstelle, wie USB, HDMI, etc. Die Funktionalität des Geräts wird anschließend mittels Treiber erkannt. (Ums grob simpel auszudrücken)
 
Top