Milliarden Bluetooth-Geräte haben Sicherheitslücke
Dieser Artikel ist älter als ein Jahr!
Die Bluetooth Special Interest Group, das für den Kommunikationsstandard zuständige Gremium, hat eine Warnung vor einer neuen Sicherheitslücke ausgegeben. Sie hört auf den Namen "BLURtooth" und betrifft alle Geräte mit den Bluetooth-Standards 4.2 bis 5.0. Ihren Ursprung hat die Lücke in der Funktion Cross-Transport Key Derivation (CTKD), mit der kryptografische Schlüssel zwischen zwei Geräten ausgetauscht werden.
Man in the Middle
Die Funktion kann so ausgenutzt werden, dass ein Angreifer in die Vergabe der Schlüssel eingreifen kann. Theoretisch ist es etwa möglich, dass sich ein angreifendes Gerät als ein Gerät ausgibt, das in der Vergangenheit bereits mit dem Gerät des Opfers verbunden war. Das angreifende Gerät wird solcherart zum Man in the Middle (MITM) und kann sich ungehindert mit dem Gerät des Opfers verbinden.
Persönliche Daten gefährdet
Wie das Computer Emergency Response Team (CERT) der Carnegie Mellon University beschreibt, könnten auf diese Weise eine Reihe von Angriffen gestartet werden, die als BLUR-Attacken bezeichnet werden (daher der Name BLURtooth). Dadurch sind persönliche Daten gefährdet, die auf dem Gerät des Opfers ohne weitere Beschränkung zugänglich sind.
Patching möglich
Die Bluetooth Special Interest Group weist Gerätehersteller auf diese Lücke hin und drängt darauf, Patches dafür auszurollen. Es ist etwa möglich, zusätzliche Restriktionen für CTKD einzuführen, die in den Bluetooth-Versionen ab 5.1 verpflichtend vorgeschrieben sind.
Kommentare