News Windows: Unsichere Bluetooth-Geräte nach Juni-Update unbrauchbar

areiland

Commodore
Dabei seit
Apr. 2010
Beiträge
4.519
...Das heißt der Bluetoothstandard hat ganz plötzlich eine Sicherheitslücke bekommen und MS musste unbedingt in Kamikazemanier darauf reagieren?...
Nö die Anforderungen der aktuellen Standards wurden nur verschärft und MS setzt diese Verschärfungen um, indem es ältere, unsichere, Versionen der Standards einfach nicht mehr unterstützt.

Wurde auch irgendwo entsprechend angekündigt.
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Das heißt der Bluetoothstandard hat ganz plötzlich eine Sicherheitslücke bekommen und MS musste unbedingt in Kamikazemanier darauf reagieren?


Wie man denn als OS-Hersteller so selten dämlich sein und so einen Beispielschlüssel nicht von Anfang an sperren oder zumindest eine Warnung einbauen? Du darfst auch gerne Google an den Pranger stellen. Ich frage mich nur inwiefern es das Versagen von MS besser macht.


Erkläre mir wie der normale Nutzer dieses Silbertablett bekommt. Und zwar schon am Dienstag, denn da wurde der Patch ausgerollt.
Ich hoffe ernsthaft, dass du nur ein schlechter Troll bist. Andernfalls wäre das gerade wirklich extrem traurig. ;-)
...
Allein der erste Satz... krass...
 

areiland

Commodore
Dabei seit
Apr. 2010
Beiträge
4.519
Zumal ich oben den entscheidenten Passus des Artikels nochmal zitiert hatte! Nämlich dass MS BT Geräte aussperrt, die sich an Windows mit dem massenhaft verwendeten immer gleichen Schlüssel melden. Da ist die Lücke nicht im BT Standard gewesen, sondern in faulen Herstellern, die ihre Geräte mit dem immer gleichen Schlüssel ausstatten.
Ergänzung ()

Dann zeig mal wo MS das entsprechend angekündigt hat.
Steht im Changelog zum Update drin: https://support.microsoft.com/en-us/help/4503293/windows-10-update-kb4503293, gleich unter "Improvements and fixes" der erste Absatz. Und das konnte man sogar schon vor Tagen einsehen.

Müsste man sich halt auch mal rechtzeitig die Changelogs zu Gemüte führen, statt hinterher zu jammern.
 
Zuletzt bearbeitet:

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Weil der normale Nutzer englische Changelogs liest und versteht. Und die Übergangsfrist ist dank der frühzeitigen Veröffentlichung des Changelogs auch drin. Ist klar, MS macht wie immer alles richtig.
Das läuft auf eine Grundsatzfrage hinaus, WER, WANN und WIE in der Verpflichtung steht, seine Kunden zu informieren. Dass die Informations-Poltik von MS für den 0815 User nicht besonders toll ist, ist nichts neues und klar, könnte man dem Benutzer eine Benachrichtigung zum Problem via Notification-Center anzeigen.
Und dass Windows 10 Updates für die Home Edition per Default automatisch installiert werden ist auch ein Graus.
Aber das ist alles Off-Topic.

Aus meiner Sicht stehen die Hersteller betroffener Geräte in der Verpflichtung ihre Kunden zu informieren. Ich habe z.B. ohne spezielle Recherche auch noch nirgends gesehen, dass auch Android und iOS bekannte Schlüsse die für den Missbrauch der Sicherheitslücke genutzt werden, blockieren. (Bei iOS ist es bei 12.3 der Fall)

Google als Hersteller betroffener BT-Geräte (bezüglich seinen Titan-Security-Keys (sowas wie Bluetooth Dongles für 2-Faktor-Authentifizierung)) hat vor einem Monat einen Artikel veröffentlicht, dass diese BT-Geräte betroffen sind und was zutun ist.
After you’ve used your key to sign into your Google Account on your device, immediately unpair it. You can use your key in this manner again while waiting for your replacement, until you update to iOS 12.3.
Once you update to iOS 12.3, your affected security key will no longer work.
Heißt, ab iOS 12.3 wirds ebenfalls nicht funktionieren. (Diese Ankündigung von Apple hab ich noch nirgends gesehen - ohne extra Recherche.)
Android devices updated with the upcoming June 2019 Security Patch Level (SPL) and beyond will automatically unpair affected Bluetooth devices, so you won’t need to unpair manually.
https://security.googleblog.com/2019/05/titan-keys-update.html

Da frage ich mich, warum können das andere Hersteller nicht ebenfalls vorher kommunizieren?

Es hat auch niemand behauptet, dass MS alles richtig macht. Also nicht gleich so rum zicken. (Könnte sonst an ein strampelndes Kind auf den Fußboden im Supermarkt erinnern) ;-)
 
Zuletzt bearbeitet:

sourcefreak

Commander
Dabei seit
Juli 2006
Beiträge
2.939
Weil der normale Nutzer englische Changelogs liest und versteht. Und die Übergangsfrist ist dank der frühzeitigen Veröffentlichung des Changelogs auch drin. Ist klar, MS macht wie immer alles richtig.
Der normale Nutzer wäre schon mit einer "Notification" egal in welcher Form schon überfordert und selbst wenn Microsoft z. B. über Mail informieren würde, würde der normale Nutzer eh nichts blicken. Der normale Nutzer liest auch keinen Windows Blog.

Microsoft patched eine Sicherheitslücke und die Leute regen sich immer noch auf :evillol:
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Aber es wäre auch Witzig, wenn die OS-Hersteller ihre Nutzer über kommende Sicherheitsupdates informieren, indem sie z.B. ein Banner beim Login anzeigen
"Wir haben erkannt dass ihr Bluetooth Gerät Scheisse ist, nach dem nächsten Security Update wird es nicht mehr funktionieren."
- Damit auch der letzte Kleinkriminelle auf das Problem aufmerksam gemacht wird und weiß, dass er noch 1 Monat Zeit hat um die Sicherheitslücke auszunutzen, um von der süßen Bankmitarbeiterin die fast täglich die Mittagspause mit ihrem Laptop im Kaffee verbringt vielleicht mal ein paar Daten mit vergleichsweise wenig Aufwand zu ziehen. :-)))
 

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.479
Aus meiner Sicht stehen die Hersteller betroffener Geräte in der Verpflichtung ihre Kunden zu informieren.
Und wie soll das vonstatten gehen, insbesondere dann, wenn es rechtzeitig sein muss? Bedenke, dass nicht die Geräte das "Problem" sind, die die Verbindung plötzlich nicht mehr zulassen, sondern Windows. MS hat der Verbindung den Hahn abgedreht und nicht der Hersteller. Daher ist in erster Linie MS in der Pflicht. Selbstverständlich wäre es auch wünschenswert, wenn die Hersteller den Kunden direkt rechtzeitig informieren. Das ändert aber nichts daran, dass MS wieder mal an diesem Punkt versagt hat.
Und mal Hand aufs Herz: wer liest den Google Security Blog? MS erreicht den Kunden doch viel eher.

Der normale Nutzer wäre schon mit einer "Notification" egal in welcher Form schon überfordert und selbst wenn Microsoft z. B. über Mail informieren würde, würde der normale Nutzer eh nichts blicken. Der normale Nutzer liest auch keinen Windows Blog.
Ein Hinweis bei Herstellung der Verbindung, dass diese unsicher ist und eine Verbindung diese Geräts über Bluetooth voraussichtlich am 9.7. nicht mehr möglich sein wird überfordert also den Nutzer? Wie konnte der es dann schaffen das Gerät zu verbinden? Bluetooth ist diesbezüglich alles andere als nutzerfreundliche Technologie.

Aber es wäre auch Witzig, wenn die OS-Hersteller ihre Nutzer über kommende Sicherheitsupdates informieren, indem sie z.B. ein Banner beim Login anzeigen "Wir haben erkannt dass ihr Bluetooth Gerät Scheisse ist, nach dem nächsten Security Update wird es nicht mehr funktionieren." -- Damit auch der letzte Kleinkriminelle auf das Problem aufmerksam gemacht wird und weiß, dass er noch 1 Monat zeit hat um die Sicherheitslücke auszunutzen. :-)))
Dann zeig mal wie du durch die Lücke beispielsweise auf meinen Rechner zugreifen könntest.
 

areiland

Commodore
Dabei seit
Apr. 2010
Beiträge
4.519
...Bedenke, dass nicht die Geräte das "Problem" sind, die die Verbindung plötzlich nicht mehr zulassen, sondern Windows. MS hat der Verbindung den Hahn abgedreht und nicht der Hersteller. Daher ist in erster Linie MS in der Pflicht.
So, Apple hat das gleiche mit iOS 12.3 schon vor vier Wochen gemacht - ist da jetzt auch MS in der Pflicht gewesen?
 

rolvaag

Ensign
Dabei seit
Jan. 2014
Beiträge
199

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Und wie soll das vonstatten gehen, insbesondere dann, wenn es rechtzeitig sein muss? Bedenke, dass nicht die Geräte das "Problem" sind, die die Verbindung plötzlich nicht mehr zulassen, sondern Windows. MS hat der Verbindung den Hahn abgedreht und nicht der Hersteller. Daher ist in erster Linie MS in der Pflicht.
Natürlich sind die Geräte das Problem, weil sie u.A. den Beispiel-Schlüssel aus der BT-Spezifikation verwenden, statt wie in der BT-Spezifikation vorgegeben eigene Schlüssel zu generieren.
Ich habe heute ein iPhone via iTunes auf iOS 12.3 geupdated, im Zuge eines Resets auf Werkseinstellungen. Mir wurde dazu nirgends angezeigt, dass bestimmte BT-Geräte nicht mehr funktionieren können. Nochmal, es geht hier nicht mal mehr gezielt um MS, sondern das ist eine Grundsatzdiskussion, was ich bereits in dem Post erwähnt habe, den du zitierst...

Selbstverständlich wäre es auch wünschenswert, wenn die Hersteller den Kunden direkt rechtzeitig informieren. Das ändert aber nichts daran, dass MS wieder mal an diesem Punkt versagt hat.
- In wie fern versagt? In der Hinsicht, dass sie etwas geschlossen haben, was gar nicht hätte genutzt werden dürfen?

Ein Hinweis bei Herstellung der Verbindung, dass diese unsicher ist und eine Verbindung diese Geräts über Bluetooth voraussichtlich am 9.7. nicht mehr möglich sein wird überfordert also den Nutzer? Wie konnte der es dann schaffen das Gerät zu verbinden? Bluetooth ist diesbezüglich alles andere als nutzerfreundliche Technologie.
Natürlich wäre das eine Möglichkeit. Sieht man ja auch, wie gut das bei Office-Macros funktioniert. Das ist aber ein Stichpunkt der Informationspolitik der alle Hersteller gleichermaßen betrifft, und teilw. berechtigt, nicht angewandt wird.

Dann zeig mal wie du durch die Lücke beispielsweise auf meinen Rechner zugreifen könntest.
Mit 1-2 Tagen Recherche und einem dafür geeigneten Android-Gerät wäre das kein besonders großes Problem (für mich zumindest, da vom Fach). So wie es auch für einen KFZ-Mechaniker recht einfach ist, eine für ihn neue Modifikation am Auto vorzunehmen, da er die restlichen Grundkenntnisse bereits besitzt.

Aber wie würdest du mir diesen Aufwand entschädigen? (Vorschläge auch gerne per PN)
 

sourcefreak

Commander
Dabei seit
Juli 2006
Beiträge
2.939
Ein Hinweis bei Herstellung der Verbindung, dass diese unsicher ist und eine Verbindung diese Geräts über Bluetooth voraussichtlich am 9.7. nicht mehr möglich sein wird überfordert also den Nutzer? Wie konnte der es dann schaffen das Gerät zu verbinden? Bluetooth ist diesbezüglich alles andere als nutzerfreundliche Technologie.
Ob du es glaubst oder nicht, ja. Arbeite Mal einen 1 Tag in der IT-Branche. Viele sind schon mit viel einfacheren Sachen überfordert. Beispiel: "Öffnen Sie Mal den Explorer/Spotlight" > "Den was"?

Selbst eine Info/Abfrage/Mail/Notification/Whatever von Microsoft vor dem Update/Upgrade hätte nichts daran geändert.
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
ja, aber so kann man die User eben nicht zwingen, sich teuer neue Hardware kaufen zu müssen, irgendwie hirnverbrannt, was MS da wieder mal ausheckt
Teure Hardware wird seitens Hersteller entweder entsprechend gepatcht, mit Infos die vom Hersteller zuvor raus gingen, oder ist gar nicht erst von dem Problem betroffen. :-)
Und falls dies nicht zutrifft, würde ich den Hersteller zukünftig meiden, da er die Infos dazu hatte, aber nichts dagegen bzw. für Kunden die seine Geräte nutzen, getan hat.
 

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.479
Natürlich sind die Geräte das Problem, weil sie u.A. den Beispiel-Schlüssel aus der BT-Spezifikation verwenden, statt wie in der BT-Spezifikation vorgegeben eigene Schlüssel zu generieren.
Und nochmal die Frage an dich: warum hat MS den nicht von Anfang an auf eine Blacklist gesetzt? Weil es denen erst jetzt ganz plötzlich aufgefallen ist, dass dieser existiert? Dann würde das Problem nicht von heute auf morgen bestehen. Dass es besteht liegt aber daran, dass MS eingegriffen hat und nicht die Gerätehersteller. Oder würdest du sagen, dass wenn die Gerätehersteller irgendwas ändern und es dann nicht mehr mit Windows funktioniert, MS für das Problem verantwortlich ist?

In wie fern versagt? In der Hinsicht, dass sie etwas geschlossen haben, was gar nicht hätte genutzt werden dürfen?
Steht doch in dem Zitat. Bei der Kommunikation mit dem Endkunden haben sie wieder einmal versagt.

Mit 1-2 Tagen Recherche und einem dafür geeigneten Android-Gerät wäre das kein besonders großes Problem (für mich zumindest, da vom Fach). So wie es auch für einen KFZ-Mechaniker recht einfach ist, eine für ihn neue Modifikation am Auto vorzunehmen, da er die restlichen Grundkenntnisse bereits besitzt.
Dann sehen wir uns spätestens übermorgen auf meinem Rechner. Bin gespannt. ;)

Ob du es glaubst oder nicht, ja. Arbeite Mal einen 1 Tag in der IT-Branche. Viele sind schon mit viel einfacheren Sachen überfordert. Beispiel: "Öffnen Sie Mal den Explorer/Spotlight" > "Den was"?
Du willst mir sagen, solche Leute verwenden Bluetooth um ihre Geräte mit dem PC zu verbinden? :freaky:
 

sourcefreak

Commander
Dabei seit
Juli 2006
Beiträge
2.939
Ja, solche Leute verwenden Bluetooth um ihre Geräte mit dem PC zu verbinden, weil normalerweise eine Anleitung beiliegt.

Würde man jetzt die Anleitung auf das Thema übertragen, dann müsste Microsoft vorher jedes betroffene Bluetooth-Geräte kennen (meiner Meinung nach unmöglich) und dem User eine Anleitung "geben" wie er sein (eventuelles) Problem lösen kann. Das ist ein Ding der Unmöglichkeit.

Ich verstehe gut worauf die hinaus willst. Aus Erfahrung kann ich dir aber sagen, dass eine Info vorher nichts gebracht hätte.

Anderes Beispiel: FontExplorer hat vor einem Jahr oder so deren Kunden per Mail angeschrieben und mitgeteilt, dass gewissen Versionen ab einem bestimmten Datum wegen abgelaufenem Zertifikat nicht mehr funktionieren werden. Auch wurde mitgeteilt was genau zu tun ist. Grob: "Klicke auf Hilfe im Menü und dann Update". Einfach oder? Jetzt rate Mal wie viele das zwar gelesen aber ignoriert haben oder überfordert waren.
 

Dovah

Cadet 4th Year
Dabei seit
Sep. 2012
Beiträge
89
Und nochmal die Frage an dich: warum hat MS den nicht von Anfang an auf eine Blacklist gesetzt? Weil es denen erst jetzt ganz plötzlich aufgefallen ist, dass dieser existiert? Dann würde das Problem nicht von heute auf morgen bestehen. Dass es besteht liegt aber daran, dass MS eingegriffen hat und nicht die Gerätehersteller. Oder würdest du sagen, dass wenn die Gerätehersteller irgendwas ändern und es dann nicht mehr mit Windows funktioniert, MS für das Problem verantwortlich ist?
Also war dein Post vorhin doch ernst gemeint...
Ich rate dir, dich zu informieren, was Sicherheitslücken sind, wie diese erkannt werden und wie geschlossen. Wenn du schon dazu diskutieren möchtest.
Um dir eine Antwort zu geben: Ja, diese Sicherheitslücke wurde erst - vergleichsweise - vor kurzem entdeckt (Wenn ich mich nicht täusche im Januar / Februar) und nach weiteren Forschungen, sowie Prüfungen von den OS-Betreiben (Linux, iOS, Android, MS) nun auch gefixt.

Dann sehen wir uns spätestens übermorgen auf meinem Rechner. Bin gespannt. ;)
Ich habe bisher keinen Vorschlag für eine Aufwandsentschädigung erhalten, weder hier noch per PN.
Vielleicht war das ja zu ungenau für dich ausgedrückt: Meine Kunden müssen während regulärer Arbeitszeit einen dreistelligen Betrag pro Std. zahlen, was in dem Berufsumfeld recht üblich ist. Was bietest du, sodass es sich für mich rentiert, meine Freizeit zu opfern? ;-) Ich hoffe, das war nun verständlich genug ausgedrückt. Ernsthaft, unterbreite mir ein lukratives Angebot und wir setzen uns zusammen und ich demostriere dir dann gerne, wie sowas erfolgen kann.
Und für Weiteres müssen wir natürlich auch die restlichen Bedingungen besprechen, du Scherzkecks. Oder erwartest du jetzt, dass jemand die Computerbase-Plattform hackt (u.U. ziemlich tief um nicht an eine Anonymisierte-IP-Adresse zu kommen und im Anschluss deinen Provider nur um einer dümmlichen Forderung im Forum nachzugehen?
Mir scheint, deine Ansichten zum Thema IT sind ziemlich kindisch. Anders ausgedrückt: Diskutierst du auch mit KFZ-Mechanikern in Auto-Foren und antwortest dann genauso anonym "Ich erwarte dann in 2 Tagen die Änderung an meinem Fahrzeug als Beweis von dir, hihihi."?? 🤔🤦‍♂️🤷‍♂️

Du willst mir sagen, solche Leute verwenden Bluetooth um ihre Geräte mit dem PC zu verbinden? :freaky:
Ist es deiner Ansicht nach schwierig, auf ein BT-Icon in Windows zu klicken und anschließend auf den einen einzigen Knopf (Pairing) auf dem BT-Gerät? Abgesehen davon, kann es solchen Leuten auch der Admin, oder der Enkel eingerichtet haben und sie verwenden es fortan. BT ist aktiv, Gerät ist angreifbar.
Noch weitere Argumente?
Ergänzung ()

Anderes Beispiel: FontExplorer hat vor einem Jahr oder so deren Kunden per Mail angeschrieben und mitgeteilt, dass gewissen Versionen ab einem bestimmten Datum wegen abgelaufenem Zertifikat nicht mehr funktionieren werden. Auch wurde mitgeteilt was genau zu tun ist. Grob: "Klicke auf Hilfe im Menü und dann Update". Einfach oder? Jetzt rate Mal wie viele das zwar gelesen aber ignoriert haben oder überfordert waren.
Solche Fälle sind eigentlich Standard und dabei werden Mitteilungen sogar oftmals personalisiert und nicht allgemein an eine breite Masse verteilt.
 
Zuletzt bearbeitet:

Zero_Point

Lt. Commander
Dabei seit
Feb. 2017
Beiträge
1.479
Würde man jetzt die Anleitung auf das Thema übertragen, dann müsste Microsoft vorher jedes betroffene Bluetooth-Geräte kennen (meiner Meinung nach unmöglich) und dem User eine Anleitung "geben" wie er sein (eventuelles) Problem lösen kann. Das ist ein Ding der Unmöglichkeit.
Eben nicht, denn dann müsste MS auch jedes betroffene BT-Gerät das sie nun blockieren kennen. Die Sache ist doch ganz einfach: für eine Übergangsfrist, bei der mit Hinweisen gewarnt wird (alles schon mal erklärt) und dann z.B. in einem Monat keine Verbindung mehr ermöglichen. Dann hätte jeder eine Chance gehabt entsprechend zu reagieren.

Oder erwartest du jetzt, dass jemand die Computerbase-Plattform hackt (u.U. ziemlich tief um nicht an eine Anonymisierte-IP-Adresse zu kommen und im Anschluss deinen Provider nur um einer dümmlichen Forderung im Forum nachzugehen?
Du sagst alle sind plötzlich total gefährdet. Wozu brauchst du dann erst ein offenes Scheunentor? Geb doch einfach zu, dass die Gefährdung sehr gering oder gar Null ist und du meinen Rechner nicht einfach so übernehmen kannst.

Ist es deiner Ansicht nach schwierig, auf ein BT-Icon in Windows zu klicken und anschließend auf den einen einzigen Knopf (Pairing) auf dem BT-Gerät? Abgesehen davon, kann es solchen Leuten auch der Admin, oder der Enkel eingerichtet haben und sie verwenden es fortan. BT ist aktiv, Gerät ist angreifbar.
Noch weitere Argumente?
Du meinst Leute, die nicht mal den Explorer kennen, richten das mal eben so ein, weil das alles ja so selbsterklärend ist?
Admin und Enkel kann man nicht fragen, was so eine Meldung bedeutet? Seltsam, bei der Einrichtung ging es offenbar...
 

sourcefreak

Commander
Dabei seit
Juli 2006
Beiträge
2.939
Eben nicht, denn dann müsste MS auch jedes betroffene BT-Gerät das sie nun blockieren kennen. Die Sache ist doch ganz einfach: für eine Übergangsfrist, bei der mit Hinweisen gewarnt wird (alles schon mal erklärt) und dann z.B. in einem Monat keine Verbindung mehr ermöglichen. Dann hätte jeder eine Chance gehabt entsprechend zu reagieren.
Das habe ich doch geschrieben, oder nicht?

Ich glaube der Shitstorm wäre deutlich größer mit deinem Vorschlag, weil das für die ganzen Blogs und Influenzer/YouTuber ein gefundenes Fressen wäre. Ich sehe da schon die BILD- und Focus-Überschrift: "Windows Sicherheitslücke bekannt. Microsoft reagiert nicht. Zehn Dinge die sie unbedingt wissen müssen!". Da ist der gewählte Weg (oder aus deiner Sicht eben nicht) die bessere Lösung meiner Meinung nach.
 
Top