Bluetooth-Schwachstelle BlueBorne – Was sind die wichtigsten Fakten?
- Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Bluetooth-Schwachstelle
- BSI empfiehlt Update zum Schutz gegen Schwachstelle BlueBorne
- BlueBorne gefährdet weltweit ca. 5 Milliarden Geräte
- Bluetooth-Lücke ermöglicht direkten Gerätezugriff
- Besondere Gefahr für Android-, Linux- und Windows-Systeme
- Bei Apple sind nur ältere Geräte betroffen
- Bluetooth Low Energy einzige Bluetooth-Version ohne Schwachstelle
Woher kommt die Bluetooth-Schwachstelle?
Die auf den klangvollen Namen „BlueBorne“ getaufte Bluetooth-Schwachstelle hat ihren Ursprung nach Angaben der Sicherheitsfirma Armis, die die Lücke identifiziert hat, nicht im Protokoll, sondern im Stack, also dem Stapelspeicher der Betriebssysteme Windows, Linux und Android. Eine Attacke durch die Bluetooth-Lücke könnte also auch ohne vorheriges Pairing durchgeführt werden, wie Armis in seinem Report erläutert.
Wie gefährlich ist BlueBorne?
Am größten ist die Gefahr durch die Bluetooth-Schwachstelle für Android-, Linux- und Windows-User, während nur Apple-User mit älteren Geräten vorsichtig sein müssen.
Angreifer können die Bluetooth-Lücke durch eine Wurmfunktionalität missbrauchen. Im schlimmstmöglichen Szenario erhält der „Eindringling“ die völlige Kontrolle über das Gerät sowie die Möglichkeit, Passwörter auszuspähen, persönliche Daten zu stehlen oder das angegriffene Gerät in ein Botnetz einzubinden. Im konkreten Fall von Windows kann beispielsweise ein Man-in-the-middle-Angriff durchgeführt werden, bei Linux-Geräten ab der Kernelversion 3.3.-rc1 besteht die Gefahr der Codeausführung „von außen“. Besonders gefährlich ist die Bluetooth-Lücke auch, weil für den Angriff keine aktives Pairing und keine Autorisierung nötig sind. Die einzige als ungefährlich eingestufte Bluetooth-Version ist „Bluetooth Low Energy“.
Wie kann ich mich vor der Bluetooth-Schwachstelle schützen?
Zum Schutz gegen die Bluetooth-Schwachstelle empfiehltt das BSI in seiner Pressemitteilung, bis zum Einspielen von Updates Bluetooth deaktiviert zu lassen. Google hat die Bluetooth-Lücke bereits Anfang des Monats mit einem ab Android 6 geltenden Android-Update gepatcht, das entsprechende Update von Microsoft kam am 12. September. Auch Linux hat ein in Kürze verfügbares Update vesprochen. Für Geräte, die der Hersteller nicht mehr unterstützt und die keine Internet-Verbindung herstellen können, werden wohl keine Updates zur Verfügung stehen – diese Devices sind durch die Sicherheitslücke also permament verwundbar.
Kommentare (10)
Schreiben Kommentar schreibenIch finde diese BSI Warnungen immer lustig. Auf Android ist man vom Gerätehersteller abhängig, da es keine Zentrale Updatelösung gibt - hier wird das Rad einfach Mal neu erfunden. Und wie viele Hersteller liefern bei einem 1 Jahr alten Smartphone noch Updates? high end hat man vllt noch Glück, aber mid-range oder lowrange wohl eher weniger (Ausnahme LG: mein G4 hat nach weniger als 1 Jahr nach Release schon keine Updates mehr bekommen).
Was ist pervers daran? Der Hersteller bekommt von Google jeden Monat eine ZIP Datei mit allen Sicherheitspatches bis runter zu Android 4.4 - also kann, theoretisch, auch ein altes Android System noch in den Genuss von Sicherheit kommen... Dauert vllt. 10 Minuten alle Patches einzupflegen, habe ich selbst ein paar Mal gemacht.
Wir brauchen hier gesetzliche Vorgaben für Softwareupdates auf Mobilgeräten! Die Hersteller werfen teils monatlich neue Smartphones auf den Markt ohne eines wirklich Softwareseitig zu pflegen - an dem Hardwareverkauf verdient man schließlich Geld, an Software nicht.
Für die Paranoiden hier: schaut doch Mal nach dem August Security Bulletin Report, hier gab es bereits (wie jeden Monat) einige kritisch bzw. hoch eingestufte Sicherheitslücken die geschlossen wurden.
https://source.android.com/securety/bulletin/2017-08-01
Solange auch hier Smartphones mit Uralt-Android als Schnäppchen beworben werden und die Leute den Mist kaufen, wird sich nix ändern.
Ich finde diese BSI Warnungen immer lustig. Auf Android ist man vom Gerätehersteller abhängig, da es keine Zentrale Updatelösung gibt - hier wird das Rad einfach Mal neu erfunden. Und wie viele Hersteller liefern bei einem 1 Jahr alten Smartphone noch Updates? high end hat man vllt noch Glück, aber mid-range oder lowrange wohl eher weniger (Ausnahme LG: mein G4 hat nach weniger als 1 Jahr nach Release schon keine Updates mehr bekommen).
Was ist pervers daran? Der Hersteller bekommt von Google jeden Monat eine ZIP Datei mit allen Sicherheitspatches bis runter zu Android 4.4 - also kann, theoretisch, auch ein altes Android System noch in den Genuss von Sicherheit kommen... Dauert vllt. 10 Minuten alle Patches einzupflegen, habe ich selbst ein paar Mal gemacht.
Wir brauchen hier gesetzliche Vorgaben für Softwareupdates auf Mobilgeräten! Die Hersteller werfen teils monatlich neue Smartphones auf den Markt ohne eines wirklich Softwareseitig zu pflegen - an dem Hardwareverkauf verdient man schließlich Geld, an Software nicht.
Für die Paranoiden hier: schaut doch Mal nach dem August Security Bulletin Report, hier gab es bereits (wie jeden Monat) einige kritisch bzw. hoch eingestufte Sicherheitslücken die geschlossen wurden.
https://source.android.com/securety/bulletin/2017-08-01
Und wieder wird eine neue Sau durchs Dorf gejagt!
"Linux hat ein Update versprochen" - lol
Dieser Herr Linux hat bestimmt NULL Ahnung, was in der IT so abgeht
"Linux hat ein Update versprochen" - lol
Stack hat in diesem Kontext nichts mit Stapelspeicher zu tun. Gemeint ist der Protokollstack, d.h. die Implementierung der Bluetooth Spezifikation durch die Anbieter.
genauso sieht das aus.😂 Schönes Wochenende.
wer ist dieser Bluetooth und warum?
was is bluetooth? hat es was mit Zähne zu tun ?
Richtig. Das hat was mit Zähnen zu tun.
Wenn du von einem Blauhai gebissen wirst und ein Zahn bleibt stecken.
Dann hast du Bluetooth.
Hört sich komisch an, is aber so.
was is bluetooth? hat es was mit Zähne zu tun ?