Schwachstelle im Bluetooth-Pairing

Bluetooth-Sicherheitslücke betrifft Millionen Endgeräte

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Das Bluetooth-Protokoll kann derzeit angegriffen werden, es lohnt sich Updates zu installieren.
Das Bluetooth-Protokoll kann derzeit angegriffen werden, es lohnt sich Updates zu installieren. (Bild: Pixabay / CC0)

Durch eine Sicherheitslücke beim Verbinden von zwei Bluetooth-Geräten besteht die Gefahr, dass unberechtigte Personen den dabei ent­ste­hen­den Datenverkehr in Klartext verfolgen und auch ändern können. Betroffen sind bekannte Hersteller wie Apple, Intel, Broadcom und Google. Das Problem entsteht dadurch, weil die Hersteller die sichere Verbindung zwischen den Geräten nicht korrekt aufbauen.

Verbinden sich zwei Bluetooth-Geräte (Pairing) wird dabei ein Schlüsselaustausch durchgeführt. Das soll sicherstellen, dass nur die gewünschten Geräte miteinander kommunizieren. Dabei wird auf Elliptic-Curve Diffie-Hellman (ECDH) gesetzt. Allerdings arbeiten nicht alle Hersteller korrekt mit dieser Sicherheitslösung. Dadurch ist es möglich, dass Angreifer über einen Man-in-the-Middle-Angriff in den Datenverkehr eingreifen können. Die Schwachstelle ist in der Vulnerability Notes Database dokumentiert.

Eigentlich kann das Pairing über Elliptic-Curve Diffie-Hellman (ECDH) nicht so einfach übernommen werden. Wenn aber beide Geräte von Herstellern kommen, die nicht alle Optionen korrekt abfragen, kann ein Angreifer erfolgreich Daten abgreifen. Sobald die Verbindung erfolgreich aufgebaut wurde, spielt die Schwachstelle keine Rolle mehr. Gefährlich ist die Lücke nur im Pairing-Vorgang. Das Problem wird nach und nach behoben. Dazu müssen die beteiligten Betriebssysteme aktualisiert werden. Apple-Geräte sind ab iOS/tvOS 11.4 gesichert, beziehungsweise ab macOS X 10.13.5.

Auch die Treiber für die Geräte sollten aktualisiert werden. Intel bietet dazu bereits ein Update an. Die Treiber stellen sicher, dass Windows- und Linux-Rechner mit Intel-Bluetooth-Chips nicht mehr angegriffen werden können. Die Bluetooth Special Interest Group (SIG) hat im Rahmen dieser Lücke Änderungen an den Spezifikationen für Bluetooth vorgenommen. Das soll verhindern, dass in Zukunft Lücken dieser Art ausgenutzt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45424667 / Sicherheitslücken)