Bluetooth-Lücke gefährdet Milliarden Geräte

Eine Sicherheitslücke im Bluetooth-Protokoll gefährdet praktisch alle modernen Geräte von Smartphones, Tablets bis hin zu Computern. Darauf weisen Sicherheitsforscher der École Polytechnique Fédérale de Lausanne (EPFL) in ihrer Forschungsarbeit (PDF) hin. Wird die Lücke ausgenutzt, kann die Authentifizierung zwischen zwei Geräten von einem Angreifer unterwandert werden. Dieser kann sich etwa als vertrauenswürdiges Gerät tarnen und so Zugriff auf das andere Gerät bekommen. Alle 30 von den Forschern getesteten Geräte waren verwundbar.

Einige Hürden für Kriminelle

Damit die Schwachstelle ausgenutzt werden kann, muss sich der Angreifer in Bluetooth-Reichweite befinden. Damit er sich als bereits bekanntes Gerät tarnen kann, muss bereits einmal eine Verbindung hergestellt worden sein. Dabei wird ein Protokoll ausgenutzt, das das einfache Verbinden zwischen zwei Geräten ermöglicht - etwa, um die drahtlosen Kopfhörer mit dem Smartphone zu verbinden. Das Handy merkt sich die Verbindung und muss den Authentifizierungsvorgang inklusive Schlüssel-Übermittlung nicht jedes Mal durchführen. 

Die Bluetooth Special Interest Group (SIG), welche für die Entwicklung des Drahtlosstandards verantwortlich ist, wurde bereits im Dezember 2019 über die Lücke in Kenntnis gesetzt. Die Organisation hat die Schwachstelle bereits eingestanden und ihrerseits einen Fix für das Problem angekündigt. Bis dieser zur Verfügung steht, sollten Hersteller darauf achten, lange Verschlüsselungsreihen zu verwenden und sicherere Authentifizierungsprozesse zu implementieren.