Ein Fehler in der Verschlüsselung von Bluetooth-Verbindungen erlaubt es unter Umständen, zwischen Bluetooth-Geräten ausgetauschte Daten abzufangen und zu entschlüsseln. Ein Angreifer muss sich lediglich in einer Entfernung von bis zu 30 Metern der abzuhörenden Geräte befinden.
Laut CERT prüft die Bluetooth-Implementierung bestimmter Anbieter nicht korrekt den Austausch des Kryptographieschlüssels, wenn die Verbindung zwischen zwei Geräten ausgehandelt wird. Der Fehler habe sich in Implementierungen eingeschlichen, die den elliptischen Diffie-Hellman-Schlüsselaustausch beim Aufbau einer sicheren Verbindung über einen unsicheren Kanal verwendeten.
Als Folge kann ein Angreifer mit einem gefälschten öffentlichen Schlüssel den Sitzungsschlüssel während des Schlüsselaustauschs abfangen. Per Man-in-the-Middle-Angriff soll es danach möglich sein, “passiv alle Gerätenachrichten abzufangen und zu entschlüsseln oder gefälschte Nachrichten einzuschleusen”.
Laut Microsoft ist Windows nicht direkt betroffen. Intel bezeichnet jedoch zahlreiche Bluetooth-Module für Produkte mit Windows 7, 8.1 und 10 sowie Chrome OS und Linux als anfällig. Intel empfiehlt deswegen, einen aktuellen Treiber zu installieren, der möglicherweise auch beim Hersteller des Geräts erhältlich ist. Ein solches Update liegt bereits von Lenovo und auch von Apple vor. Dell, das Bluetooth-Hardware von Qualcomm einsetzt, bietet ebenfalls einen aktuellen Bluetooth-Treiber an. LG und Huawei verteilen zudem Fixes mit den Juli-Updates für ihre Android-Smartphones.
Die Bluetooth SIG (Special Interest Group), die für den Bluetooth-Standard verantwortlich ist, stuft die Gefahr von Angriffen als gering ein, da ein Angreifer sich während des Verbindungsaufbaus in Reichweite von zwei Geräten befinden müsse. Trotzdem habe man die Bluetooth-Spezifikationen aktualisiert und schreibe nun die Prüfung öffentlicher Schlüssel während des Verbindungsaufbaus vor.
“Das angreifende Gerät müsste den öffentlichen Schlüsselaustausch abfangen, indem es jede Übertragung blockiert, eine Bestätigung an das sendende Gerät schickt und dann ein bösartiges Paket innerhalb eines engen Zeitfensters an das empfangende Gerät sendet. Wenn nur ein Gerät die Schwachstelle hätte, wäre der Angriff nicht erfolgreich”, heißt es weiter in der Stellungnahme der Bluetooth SIG.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.
Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…
Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…
Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.
Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…
PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…
