Blueborn: Milliarden Bluetooth-Geräte mit schwerer Sicherheitslücke betroffen
Laut den Entdeckern der Sicherheitslücke Blueborn sind Milliarden von Bluetooth-Geräten von einer schwerwiegenden Angriffsfläche betroffen. Diese lässt sich zwar beheben, aber der Android-Markt und Geräte ohne Software-Support werden auf Dauer angreifbar bleiben.
Bluetooth ist heute kaum noch aus der Technik wegzudenken. Insbesondere im Zusammenspiel mit Smartphones ist die drahtlose Übertragungstechnik oft im Einsatz. Drahtlos macht die Technik aber auch angreifbar und das noch mehr, wenn eine größere Sicherheitslücke im Protokoll klafft. Die von der US-amerikanischen Sicherheitsfirma Armis gefundene Lücke in Bluetooth heißt Blueborn und betrifft Milliarden Geräte - eine Schätzung der Sicherheitsexperten.
Die Sicherheitslücke ist gefährlich genug, dass auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Schwachstelle warnt, denn wenn sie ausgenutzt wird, kann der Schaden durchaus erheblich sein. Möglich ist so einiges bis hin zur Übernahme des Gerätes. Vor allem aber lassen sich Daten und Kommunikation ausspähen und Malware einschleusen.
Wenn der Cyberkriminelle langfristig etwas von seinem Angriff haben will, schleust er binnen kurzer Zeit einen Trojaner auf das Smartphone, der ihm dann eine Hintertür öffnet, über die er aus dem Internet Zugriff auf das Gerät hat. Das geht soweit, dass die Geräte ferngesteuert werden können.
Blueborn: Es gibt Lösungen, aber gibt es auch Willen?
Die größte Hürde für solche Angriffe ist aber, dass man beim ersten Mal physisch in der Nähe sein muss (rund 10 Meter) und das Gerät über Bluetooth mit einem zweiten Gerät gekoppelt werden muss (bereits bestehende Verbindungen spielen keine Rolle). Die Koppelung erfordert grundsätzlich eine Bestätigung, die man über die Sicherheitslücke aber umgehen kann. Die Sicherheitsexperten benennen 2 Milliarden Android- und Windows-Geräte mit dieser Sicherheitslücke sowie eine Milliarde iOS-Geräte, berichtet die Tagesschau. Bei iOS ist die magische Schwelle Version 9.3.5.
Bei Microsoft-Geräten wird die Sicherheitslücke ebenfalls mit einem Update geschlossen, das seit Dienstag bereitsteht. Die Nutzer müssen nur ihre Software auf dem aktuellen Stand halten. Eine andere Geschichte ist einmal mehr Android. Google wird zwar gewiss ein Sicherheitsupdate liefern, aber ob die Gerätepartner das jemals ausliefern, steht auf einem anderen Blatt. Der fragmentierte Android-Markt ist einmal mehr Fest für Cyberkriminelle. Bei Linux zeigt man sich derzeit noch entspannt, wohl auch, weil Linux-Geräte eher selten Bluetooth nutzen. Die Distributionen laufen zur Mehrheit auf Servern und wahrscheinlich führt ein Angriff ohnehin nur zum Absturz, weil die meisten Distributionen mit Stack Protection kompiliert sind.
Noch problematischer wird es bei Endgeräten, die keinen Software-Support erhalten. Das fängt beim Bluetooth-Headset an, geht über das Multimediasystem im Auto und hört beim Drucker auf. All diese Geräte sind dann potenziell angreifbar und auch da kann es einträgliche Informationen geben. Experten raten daher generell, Bluetooth nur dann einzuschalten, wenn es tatsächlich auch benutzt wird und die Technik in größeren Ansammlungen zu meiden. Es gibt nämlich Befürchtungen, dass Cyberkriminelle einen Wurm schreiben, der sich selbstständig von Gerät zu Gerät fortbewegt.
Erinnert mich grad an die Anfangszeit von Bluetooth, als manche Menschen eingestellt hatten, dass das Handy automatisch alle Daten empfängt, die zugesendet werden.
Wenn man in Bus oder Bahn Langeweile hatte... Das war ein Spaß.
Das ist wieder ein sehr gutes Beispiel dafür warum die Costum UIs der Android Hersteller für den Kunden schlecht sind. Würde jeder Hersteller die Ursprüngliche Google UI benutzen wäre es deutlich einfacher ein Update an ein Gerät anzupassen. Es müsste nur sicher gestellt werden das die Treiber noch laufen.
Da aber viele ihren eigenen Mist machen müssen, ist der Aufwand auch deutlich größer. Klar das die Hersteller das als Grund benutzen um nach recht kurzer Zeit den Software Support einzustellen!
Deswegen benutze ich Costumroms!
Ich finde im übrigen interessant das die Sicherheitslücke auch Geräte betrifft von denen man so was eigentlich nicht erwartet (Kopfhörer und co.).
Ich frage mich ehrlich gesagt was so ein Virus bei Bluetooth-Hardware wie Headsets oder Gamepads überhaupt anstellen soll?
Da ich eh nur moderne Bluetooth-Hardware benutze ist mir die Lücke herzlichst egal.
Mein Surface Pro 4 bekommt regelmäßige Updates, zumal das Windows-Bluetooth ja nicht betroffen ist. Dementsprechend sind auch meine Bluetooth-Maus und mein Surface Pen (der läuft auch per Bluetooth...) fein raus.
Ansonsten nutze ich generell kein Bluetooth. Selbst wenn ich es übers Smartphone nutze - das sollte ja auch bald Updates bekommen.
Damit wäre auch sämtliche andere Bluetooth-Hardware fein raus - schließlich müssen sowohl das Bluetooth-Gerät als auch der Bluetooth-Host die Sicherheitslücke aufweisen, damit die Voraussetzungen zum Ausnutzen dieser Sicherheitslücke gegeben sind.
Wenn dann noch der Angreifer bei der Kopplung in der Nähe sein muss, ist das Risiko doch eher gering.
Also. Einmal die Hose durchlüften und einmal durchatmen.