Schon wieder – Sicherheitsforschende entdecken neue Bluetooth-Schwachstellen
Sicherheitsexperten warnen vor Schwachstellen im Bluetooth-Protokoll. Wer diese ausnutzt, kann die eigentlich verschlüsselte Kommunikation zwischen Geräten entschlüsseln oder gar manipulieren. Angreifbar sind viele Millionen Geräte – von Kopfhörern bis Laptops.
![(Source: pixtural / stock.adobe.com)](https://data.it-markt.ch/styles/np8_full/s3/media/2023/11/30/adobestock_111360644_preview_1.jpg?itok=StJGlf1G)
Geräte, die per Bluetooth kommunizieren, sind unter Umständen angreifbar. Davor warnen nun sicherheitsexperten der französischen Bildungs- und Forschungseinrichtung Eurecom. In ihrer Arbeit (hier als PDF) dokumentieren sie, wie sich die eigentlich verschlüsselte Verbindung zwischen zwei Bluetooth-Geräten entschlüsseln und manipulieren lässt. Dies gelingt ihnen, indem sie zunächst vier Schwachstellen im Verfahren zur Ableitung von Sitzungsschlüsseln (Session Keys) ausnutzen. Wirklich neu entdeckt haben sie zwei dieser Schwachstellen, wie "Bleeping Computer" zusammenfasst. Durch die Manipulation erzwingen sie das Erstellen eines kurzen – und darum leicht vorhersehbaren – Sicherheitsschlüssels. Danach erzwinge der Angreifer die Verwendung dieses neuen Schlüssels. Die Folge: Er kann entweder die Kommunikation zwischen zwei Bluetooth-Geräten abfangen (Man-in the-Middle-Angriff) oder sich als vertrauenswürdiges Bluetooth-Gerät ausgeben.
Das ganze Angriffsszenario tauften die Sicherheitsexperten "Bluffs". Es ist auch unter CVE-2023-24023 registriert. Betroffen sind demnach Geräte, die mit den Bluetooth-Versionen 4.2 bis 5.4 arbeiten. Es dürfte sich um Milliarden Geräte handeln, heisst es bei "Bleeping Computer". Die Forschenden konnten den Angriff bei diversen Geräten erfolgreich durchführen, von Kopfhörern über Smartphones bis hin zu Laptops.
Entwickelt wird das Bluetooth-Protokoll von der Bluetooth SIG (Special Interest Group). Diese reagiert in einer Stellungnahme auf die Forschungsergebnisse. Damit ein Angriff wie beschrieben erfolgreich sei, müsse sich der Angreifer in Funkreichweite zweier anfälliger Geräte befinden, die ihren Verbindungsschlüssel mittels BR/EDR Secure Connections Pairing aushandeln. Softwareentwicklern für die betroffenen Geräte empfiehlt die Gruppe, stärkere Verschlüsselungsverfahren anzuwenden und Verschlüsselungen mit kürzeren Schlüsseln abzulehnen.
Die Befunde der Eurecom-Forschenden reihen sich ein in diverse weitere Warnungen zu Sicherheitslücken im Bluetooth-Protokoll. 2021 etwa warnten Forschende aus Singapur vor "Braktooth". Über diese Schwachstelle könnten Angreifer etwa Malware einschleusen oder die Gerätesteuerung übernehmen. Ein Jahr zuvor sprach man über "BLURtooth", eine Schwachstelle, durch die Hacker Authentifizierungsschlüssel überschreiben und auf Dienste und Anwendungen zugreifen konnten.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: OrsiO / Pixabay.com)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: Agence Olloweb)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/agence-olloweb-d9ilr-dbedg-unsplash.jpg?itok=5KVBlfPK)
OpenAI will ChatGPT mit Suchfunktion anreichern
![(Source: Rawpixel Ltd. / Freepik)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/25/32050_-_rawpixel.com_-_freepik1.jpg?itok=gym3KpxF)
Also tut sich mit Westcoast zusammen und büsst an Umsatz ein
![David Wyder, CEO, Zettaplan. (Source: zVg)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/06/25/wyder_david_zettaplan_2024_0.jpg?itok=p4jLilzo)
Zehn Fragen an David Wyder, CEO, Zettaplan
![(Source: Micha Brändli / unsplash.com)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: Kasia Derenda / unsplash.com)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: NOAA / Unsplash)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: DC Studio/Freepik.com)](https://data.it-markt.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)