Ein Fehler in der Verschlüsselung von Bluetooth-Verbindungen erlaubt es unter Umständen, zwischen Bluetooth-Geräten ausgetauschte Daten abzufangen und zu entschlüsseln. Ein Angreifer muss sich lediglich in einer Entfernung von bis zu 30 Metern der abzuhörenden Geräte befinden.
Laut CERT prüft die Bluetooth-Implementierung bestimmter Anbieter nicht korrekt den Austausch des Kryptographieschlüssels, wenn die Verbindung zwischen zwei Geräten ausgehandelt wird. Der Fehler habe sich in Implementierungen eingeschlichen, die den elliptischen Diffie-Hellman-Schlüsselaustausch beim Aufbau einer sicheren Verbindung über einen unsicheren Kanal verwendeten.
Als Folge kann ein Angreifer mit einem gefälschten öffentlichen Schlüssel den Sitzungsschlüssel während des Schlüsselaustauschs abfangen. Per Man-in-the-Middle-Angriff soll es danach möglich sein, “passiv alle Gerätenachrichten abzufangen und zu entschlüsseln oder gefälschte Nachrichten einzuschleusen”.
Laut Microsoft ist Windows nicht direkt betroffen. Intel bezeichnet jedoch zahlreiche Bluetooth-Module für Produkte mit Windows 7, 8.1 und 10 sowie Chrome OS und Linux als anfällig. Intel empfiehlt deswegen, einen aktuellen Treiber zu installieren, der möglicherweise auch beim Hersteller des Geräts erhältlich ist. Ein solches Update liegt bereits von Lenovo und auch von Apple vor. Dell, das Bluetooth-Hardware von Qualcomm einsetzt, bietet ebenfalls einen aktuellen Bluetooth-Treiber an. LG und Huawei verteilen zudem Fixes mit den Juli-Updates für ihre Android-Smartphones.
Die Bluetooth SIG (Special Interest Group), die für den Bluetooth-Standard verantwortlich ist, stuft die Gefahr von Angriffen als gering ein, da ein Angreifer sich während des Verbindungsaufbaus in Reichweite von zwei Geräten befinden müsse. Trotzdem habe man die Bluetooth-Spezifikationen aktualisiert und schreibe nun die Prüfung öffentlicher Schlüssel während des Verbindungsaufbaus vor.
“Das angreifende Gerät müsste den öffentlichen Schlüsselaustausch abfangen, indem es jede Übertragung blockiert, eine Bestätigung an das sendende Gerät schickt und dann ein bösartiges Paket innerhalb eines engen Zeitfensters an das empfangende Gerät sendet. Wenn nur ein Gerät die Schwachstelle hätte, wäre der Angriff nicht erfolgreich”, heißt es weiter in der Stellungnahme der Bluetooth SIG.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Drei Viertel der Deutschen nutzen Smarthome-Geräte. Eine angemessene Absicherung gegen externe Zugriffe ist vielen jedoch…
Wer in der EU mit Holz handelt, muss davon Muster einreichen. Der Prüfprozess ist jedoch…
Zahl der Cyberangriffe auf Krankenhäuser deutlich gestiegen. Ein Interview mit Dirk Wolters, Geschäftsführer von NeTec.
Laut Kaspersky-Umfrage halten 28 Prozent der Deutschen Künstliche Intelligenz für neutraler als menschliche Vorgesetzte.
Jeder achte Betrieb hat Lösegeld gezahlt. Bei 17 Prozent waren Geschäftsprozesse massiv eingeschränkt. Nur jeder…
Aktuelle Befragung von Deloitte zeigt eine deutliche Verunsicherung bei der Einschätzung der neuen Verordnung.
