Ein Fehler in der Verschlüsselung von Bluetooth-Verbindungen erlaubt es unter Umständen, zwischen Bluetooth-Geräten ausgetauschte Daten abzufangen und zu entschlüsseln. Ein Angreifer muss sich lediglich in einer Entfernung von bis zu 30 Metern der abzuhörenden Geräte befinden.
Laut CERT prüft die Bluetooth-Implementierung bestimmter Anbieter nicht korrekt den Austausch des Kryptographieschlüssels, wenn die Verbindung zwischen zwei Geräten ausgehandelt wird. Der Fehler habe sich in Implementierungen eingeschlichen, die den elliptischen Diffie-Hellman-Schlüsselaustausch beim Aufbau einer sicheren Verbindung über einen unsicheren Kanal verwendeten.
Als Folge kann ein Angreifer mit einem gefälschten öffentlichen Schlüssel den Sitzungsschlüssel während des Schlüsselaustauschs abfangen. Per Man-in-the-Middle-Angriff soll es danach möglich sein, „passiv alle Gerätenachrichten abzufangen und zu entschlüsseln oder gefälschte Nachrichten einzuschleusen“.
Laut Microsoft ist Windows nicht direkt betroffen. Intel bezeichnet jedoch zahlreiche Bluetooth-Module für Produkte mit Windows 7, 8.1 und 10 sowie Chrome OS und Linux als anfällig. Intel empfiehlt deswegen, einen aktuellen Treiber zu installieren, der möglicherweise auch beim Hersteller des Geräts erhältlich ist. Ein solches Update liegt bereits von Lenovo und auch von Apple vor. Dell, das Bluetooth-Hardware von Qualcomm einsetzt, bietet ebenfalls einen aktuellen Bluetooth-Treiber an. LG und Huawei verteilen zudem Fixes mit den Juli-Updates für ihre Android-Smartphones.
Die Bluetooth SIG (Special Interest Group), die für den Bluetooth-Standard verantwortlich ist, stuft die Gefahr von Angriffen als gering ein, da ein Angreifer sich während des Verbindungsaufbaus in Reichweite von zwei Geräten befinden müsse. Trotzdem habe man die Bluetooth-Spezifikationen aktualisiert und schreibe nun die Prüfung öffentlicher Schlüssel während des Verbindungsaufbaus vor.
„Das angreifende Gerät müsste den öffentlichen Schlüsselaustausch abfangen, indem es jede Übertragung blockiert, eine Bestätigung an das sendende Gerät schickt und dann ein bösartiges Paket innerhalb eines engen Zeitfensters an das empfangende Gerät sendet. Wenn nur ein Gerät die Schwachstelle hätte, wäre der Angriff nicht erfolgreich“, heißt es weiter in der Stellungnahme der Bluetooth SIG.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…