BSI warnt vor Bluetooth-Schwachstelle BlueBorne
Auch das Bundesamt für Sicherheit in der Informationstechnik reiht sich ein und warnt derzeit vor der bekannt gewordenen Bluetooth-Schwachstelle, die den Namen BlueBorne bekommen hat. Laut BSI seien über fünf Milliarden Geräte mit Bluetooth-Funktion von mehreren Sicherheitslücken betroffen, die potentiellen Angreifern die vollständige Kontrolle über das Gerät ermöglichen könnten.
Die Schwachstellen können mit einer Wurmfunktionalität ausgenutzt werden, die eine automatische Weiterverbreitung von Schadcode ermöglicht. Geräte mit aktuellen Versionen von iOS oder dem aktuellen Google-Patch im Falle von Android sind nicht oder nicht mehr betroffen, siehe die Übersicht:
[color-box color=„blue“ rounded=“1″]- Google – Contacted on April 19, 2017, after which details were shared. Released public security update and security bulletin on September 4th, 2017. Coordinated disclosure on September 12th, 2017.
- Microsoft – Contacted on April 19, 2017 after which details were shared. Updates were made on July 11. Public disclosure on September 12, 2017 as part of coordinated disclosure.
- Apple – Contacted on August 9, 2017. Apple had no vulnerability in its current versions.
- Samsung – Contact on three separate occasions in April, May, and June. No response was received back from any outreach.
- Linux – Contacted August 15 and 17, 2017. On September 5, 2017, we connected and provided the necessary information to the the Linux kernel security team and to the Linux distributions security contact list and conversations followed from there. Targeting updates for on or about September 12, 2017 for coordinated disclosure.
Betroffen sind neben Smartphones, Tablets und Laptops aller Betriebssysteme auch Geräte des Internet of Things (IoT) wie etwa Freisprecheinrichtungen. Ist ein Gerät einmal über Bluetooth infiziert worden, kann das Gerät unbemerkt aus dem Internet weitere Schadsoftware nachladen.
[/color-box]Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zur Verfügung stehende Updates umgehend einzuspielen und bis dahin alle Bluetooth-Funktionen zu deaktivieren. Geräte, die vom Hersteller nicht mehr unterstützt oder nicht mit dem Internet verbunden werden können, werden voraussichtlich nicht mit Updates versorgt werden. Diese Geräte bleiben dann dauerhaft angreifbar.
Missstände dieser Art („bleiben dauerhaft angreifbar“) wären ja auch mal ein schönes Wahlkampfthema gewesen. Stichwort EU weite, verbindliche Vorschriften. Aber stattdessen Digital first, Bedenken second. Seufz.
Ich bin der Meinung Windows wurde gestern auch damit gepatcht!?
Ja, wir werden daran ganz bestimmt alle sterben. *Gähn* Passend zur Idevice Vorstellung der Werbeblock, „nur Leben im Knast ist wirklich™ sicher“
Nach eingehender Risikobewertung: Heute abend in S/H draußen herumzulaufen ist auf jeden Fall gefährlich.
Gibt es eigentlich schon eine Rückrufaktion gegen die brennenden Akkus beim Iphone? https://www.blick.ch/news/schweiz/zuerich/jetzt-spricht-die-besitzerin-des-inferno-iphones-von-regensdorf-zh-da-laedt-man-sein-handy-hunderte-male-auf-id7293199.html
Hmmm „Geräte, die […] nicht mit dem Internet verbunden werden können“. Wenn die Geräte nicht mit dem Internet verbunden werden können, können sie auch keinen Schadcode herunterladen oder verstehe ich da etwas falsch? Wie kann sich meine Freisprecheinrichtung infizieren und wie äußert sich so eine Infektion? Wird automatisch aufgelegt wenn meine Frau oder meine Schwiegermutter anruft? Oder werden alle Gespräche mitgeschnitten und an die NSA übermittelt? Was ist mit meiner BT-Tastatur? Werden meine PIN-Eingaben jetzt automatisch an eine Bande russischer Hacker weitergeleitet? Und mein BT-Grillthermometer funkt jetzt den Garpunkt meines Steaks an den BND?
@kay man übermittelt Schadcode über Bluetooth und das ist nur bei android so. bei nicht geupdateten windows ist ein man in the middle angriff möglich und linux stürzt app. es verhält sich überall anders. Demnach bringt es bei android nichts wenn man das internet aus macht. Inwiefern Bluetooth Peripherie oder ähnliches betroffen sind, darauf gingen die Sicherheitsforscher nicht ein.
Leute – verlasst eure Behausungen nicht mehr
Hmm, bei mir vor dem Haus lungern schon so komische Typen, mit so komischen Apparaturen rum.
Nicht das die mir meine Hifi Anlage und Soundbar kapern…
Mein Handy und PC zum steuern dieser Gadgets sind ja leider gepatched.
Aber mal ernsthaft, ich hätte schon erwartet, das hier kurz über evtl. Konsequenzen eines Hacks geschrieben wird.
@Rudolf: Dann mal Butter bei die Fische, was bewirkt der „Schadcode, der nur bei Android so ist“,
Welche Folgen hat ein „man in the middle“ Angriff bei Windows?
Bluetooth im Auto dürfte ein Riesenthema sein. Welcher Autohersteller liefert Software Updates für Autos die älter als 4 Jahre sind!
In der Beschreibung zum „BlueBorne Vulnerability Scanner by Armis“ steht es konkreter:
„Armis discovered BlueBorne, a new attack vector, endangering major mobile, desktop, and IoT operating systems, including Android, iOS, Windows, and Linux, and the devices using them.“ Also muß der BT-Eierkocher nicht auf den Müll.
@Kay: Normalerweise, wenn von allen Seiten nur Geschwurbel ohne Fakten kommt, genau wie in diesem Fall, ist ein „Angriff“ vermutlich nur unter äußerst esoterischen und unrealistischen Umständen durchführbar.
Und so lange niemand, mit einem konkreten, ernst zu nehmenden Szenario, um die Ecke kommt, ist es imho nur Panikmache, ebenso wie die meisten anderen „dramatischen, klaffenden Sicherheitslücken und Einfalltore“.
Fünf Milliarden 111!!drölf…alles klar.
Weiter machen…:-P
@vel2000
Stimmt, in den Veröffentlichungen steht seitenlanges verunsicherndes Wischiwaschi.
Wenn mal wenigstens *eine* Methode genannt würde, um einen „Befall“ (nicht die Lücke selber) auf dem eigenen Gerät zu verifizieren, ohne dubiose zusätzliche Apps. Und *welcher* Teil bei BT (BT-Freigabe?) eventuell einfach nur deaktiert werden muss, um den Rest wie Smartuhr oder FSE problemfrei nutzen zu können.
Vielleicht hat ja genau wegen dieser Lücke neulich Play Protect bei etlichen Geräten einen Teil von BT deaktiviert.
Schön wäre eine Übersicht in welchen BS Versionen der Bug gefixt ist.
Der Hinweis auf die aktuelle wie bei iOS oder der Hinweis von Google ist nicht zielführend.
Ich hätte es schon ganz gerne genauer gewusst.