BlueBorne: Video-Demo zeigt die Bluetooth-Sicherheitslücke bei einem Pixel-Smartphone

 

Gestern sind erstmals Informationen zur Blueborne-Lücke in Bluetooth aufgetaucht, deren wahres Ausmaß erst jetzt bekannt geworden ist. Bekannt ist die Lücke schon seit vielen Monaten, aber veröffentlicht wurde sie erst am gestrigen Tag, so dass die Hersteller genügend Zeit zum stopfen hatten. Google hat nun noch einmal bestätigt, dass das September-Update die Lücke bei den meisten Geräten stopft. Außerdem gibt es nun eine Demo.

Die Blueborne-Sicherheitslücke befindet sich nicht im Bluetooth-Protokoll selbst, sondern in der Umsetzung der Technologie bei allen großen Herstellern. Durch die relativ schwache Sicherheit von Bluetooth in der Verbindungsphase existiert die Lücke sowohl unter Android als auch unter iOS, Linux und auch Windows. Dadurch sind mehr als 5 Milliarden Geräte betroffen, die zu großen Teilen nun schon gefixt wurden oder es in den nächsten Tagen werden. Fraglich ist Android.

Auch Google hat die Lücke in Android mittlerweile gestopft und rollt diesen Fix mit dem September-Update aus, mit dem es ausgerechnet erstmals Probleme gibt – zumindest oberflächlich. Insgesamt sind 8 Lücken entdeckt und aufgelistet worden, und alle sollen nun gestopft sein. Allerdings bedeutet dies bei Android bekanntlich nicht, dass auch alle Geräte nun geschützt sein, denn wenn die Hersteller das Update nicht an ihre Nutzer weiterreichen, bleibt Bluetooth auch weiterhin das Scheunentor.

Obiges Video zeigt noch einmal das Angriffsszenario unter Android, das mit einem Pixel-Smartphones demonstriert wird. Alles was dafür notwendig ist, ist ein modifiziertes Bluetooth-Gerät und eine Nähe zum Smartphone, ohne weitere Interaktion des Nutzers. Wie man sieht, lassen sich so einfach Apps starten wie etwa die Kamera, die dann natürlich auch Fotos schießen kann. Eine weitere Ausnutzung von Lücken soll auch das ausführen von beliebigen Code ermöglichen.

[AndroidPolice]

---

---