Samsung stopft Blueborne-Lücke auf einigen Galaxy-Smartphones
Die Blueborne-Lücke sorgte kürzlich für Aufsehen, zahlreiche Geräte sind über eine Lücke in der Bluetooth-Schnittstelle angreifbar. Sind die Geräte mit dem Internet verbunden, kann nach einem Angriff Malware nachgeladen werden, alles Dinge, die man nicht möchte. Mit etwas Glück bekommt man für sein betroffenes Gerät (auch IoT-Geröte sind betroffen) ein Update, mit Pech bleibt man dauerhaft angreifbar, wenn man eben kein Update bekommt. Auf dieses warten auch viele Smartphone-Nutzer, gute Nachrichten gibt es an dieser Stelle von Samsung.
Während Android-Nutzer mit Security-Patch-Level September bereits auf der sicheren Seite sind, ist der Patch für die wenigsten überhaupt schon verfügbar. Aber Samsung hat die Blueborne-Lücke bereits mit den letzten aktuellen Updates gefixt, auch wenn diese nicht mit dem September-Patch versehen waren. Geräte wie das Galaxy S7, Galaxy S5, Galaxy Note 8 oder auch das Galaxy A5 erhielten bereits ein entsprechendes Updates mit Blueborne-Fix auch ohne September-Patch.
Unterdessen sind die Updates für Galaxy S8 und S8+ noch nicht unterwegs, das könnte sich aber schnell ändern. Ob es dann überhaupt noch einen September-Patch geben wird oder das dann gleich mit in den Oktober-Patch integriert wird, bleibt indes abzuwarten. Um zu überprüfen, ob Euer Android-Smartphone noch von der Blueborne-Lücke betroffen ist, könnt Ihr diese App verwenden.
Auf meinem Galaxy S7 ist die Lücke noch immer offen. Obwohl keine Updates verfügbar sind. Stand G93FXXS1DQHM/G930FDBT1DQD1/G930FXXU1DQD7
In den Niederlanden geistert scheinbar bereits ein Update des August-Updates für das S7 durchs Netz: https://www.galaxyclub.nl/2017/09/galaxy-s7-update-september/ Dort ist Blueborne dann wohl gestopft. Ansonsten ist mir nicht bekannt, dass die S7 hierzulande gefixt sind. Vielleicht die Provider Versionen (Telekom, VF)?
Bei mir auf dem S7 ebenso. z.b. der BlueBorn Scanner zeigt auch noch vulnerable an.
Diese BlueBorne Scanner.app taugt nix, macht nur mit einem Fortschritts-Balken TamTam und liefert kein Protokoll, was getestet wurde. Zwischendurch gab’s auch eine Version, die mein Nexus 5 als „You are safe!“ gescannt hatte.
@db: die App wurde durchaus auch aktualisiert. Kannst du das genauer belegen oder sind das nur Vermutungen von dir?
→Troy: Also daß die App kein Protokoll liefert, weißt Du selbst. Das brauche ich nicht zu belegen, und als zwischendurch dort mal stand, mein Nexus 5 sei safe, habe ich zwar einen Screenshot erstellt, aber Typen wie Du, die nur schnell auftrumpfen wollen, sagen dann, den könnte ich auch gefälscht haben. Daß ein seit letztem Jahr ungepatchtes Nexus 5 nicht sicher sein kann, ist klar, und wie zuverlässig dann ändere Prüfungen sind, muß jeder selbst entscheiden. Ich traue der App jedenfalls nicht.
Gefixt und dies schon lange. Bei der ersten Meldung der Lücke war schon auf meinem Phone keine offene Lücke laut App. Hab ein Nexus 5x
Mein S7 hat auch kein Update; Blueborne ist nach wie vor offen.
@db: Junge, keiner will hier „auftrumpfen“. Du schriebst, die App „taugt nix“, da wollte ich genauer wissen, ob da mehr dahintersteckt. Offenbar ist das aber nicht der Fall. Es ist völlig ok, wenn du einer solchen App nicht traust, aber dann solltest du das auch genau so sagen und keine absolute Aussage treffen.
→Troy: Was hinter meiner Einschätzung stand hatte mein Posting klar und deutlich formuliert, und mit diesen penetranten Fragen nach Belegen für sinnlos konstruierte Zweifel haben Neonazis schon Diskussionen im Usenet sabotiert, bevor es Facebook oder die AfD überhaupt gab. Wenn hier einer fragwürdig diskutiert, dann bist Du das – ich belege solchen Typen jedenfalls nicht, daß die Erde keine Scheibe ist, denn auftrumpfen, daß bei mir nix dahinter sei, ist das einzige, was Du wolltest, wie Du gerade gezeigt hast – schade, denn das ist eigentlich ein wichtiges Thema.
@db: au weia, wo und wann wurdest du eigentlich sozialisiert? Geh mal gelegentlich an die frische Luft, das hilft.
→Troy: Ich habe hier sachlich gepostet, und Du hast Dich nur persönlich an mir festgebissen – dann trage doch endlich mal sachlich etwas bei, was eine App taugen soll, die kein Protokoll ihrer Prüfung liefert und Geräte als sicher scannt, die gar nicht mehr sicher sein.
…oops, da fehlte ein: können.
Die App ist wirklich mit Vorsicht zu genießen. Vor allem der Scanner der naheliegenden Bluetooth Geräte ist komplett sinnfrei.
Habe ein S5 mit lineageos auf dem die App sagt, es sei gepatcht und wenn ich das S5 mit der App auf meinem S7 scanne, sagt die app das S5 sei angreifbar.
Mein nie Note 4 mit LineageOS ist sicher, aber wenn ich die Umgebung scanne sagt er, mein Nexus Player mit September Patch „Low risk“, ist das jetzt gut oder schlecht? Oo
Es gab gestern ein Update für mein Wileyfox. Bin nun auf September-Stand. Da können sich einige große Anbieter echt ein Beispiel dran nehmen.
Habe Bluetooth auf dem S7 gar nicht aktiviert. Mache ich immer erst, wenn ich Bluetooth auch nutze und das ist eher selten.
@TR: ich schätze mal Armis Security pflegt eine Datenbank mit Bluetooth Mac Vendor Präfixen und OS Versionen, damit lässt sich relativ sicher bestimmen, ob ein Device gefixt ist oder nicht. Der Scan schaut sich vermutlich nur die BT Adressen an und kann natürlich nicht sehen, wenn dort ein Lineage Gerät läuft. Insofern vielleicht nicht ganz sinnfrei, aber auch nicht der große Wurf. Das ganze ist natürlich in erster Linie mal eine Werbung für den eigenen Laden, aber da sie diese schwere Lücke aufgedeckt haben, haben sie wohl auch das Recht dazu.
→Troy, wo sind denn jetzt Deine Belege für Deine ganzen Mutmaßungen zur Funktionsfähigkeit der App als Beweis, daß bei Dir auch was dahinter ist – nicht daß ich das von Dir ernsthaft noch bräuchte, aber Deinen eigenen Ansprüchen an andere solltest Du schon selbst gerecht werden, abgesehen davon daß interessant sowieso eher wäre, ob es für ältere Androiden noch andere Workarounds gibt als Bluetooth-abschalten oder Neukauf…
@db: sehe ich ganz ähnlich.
Und echte Belege, warum die APP vielleicht _doch_ nützlich sein könnte, liegen bis dato nicht vor.
So lange das nicht der Fall ist, ist die App für mich genau das, was sie ist…ein animierter Fortschrittsbalken mit genau null Aussagekraft.