Sicherheitslücke in Bluetooth entdeckt - Apple-Geräte bereits gefixt
Ja, schöne, moderne Technologiewelt. Nachdem Ende vergangenen Jahres zunächst der bis dahin als sicher geltende WLAN Verschlüsselungs-Standard WPA2 von der KRACK-Sicherheitslücke heimgesucht wurde und Anfang dieses Jahres so ziemlich sämtliche Prozessoren gegen die Angriffsvektoren Meltdown und Spectre anfällig waren, wurde nun auch in Bluetooth eine schwere Sicherheitslücke entdeckt. Publik gemacht wurde sie von Intel. Aus der Do0kumentation geht hervor, dass sich ein Hacker in der Nähe Zugriff auf betroffene Geräte verschaffen und eine unerwünschte Bluetooth-Verbindung aufbauen könnte. Betroffen sind hiervon die Bluetooth-Implementationen und Betriebssysteme von Apple, Broadcom, Intel und Qualcomm. Intel schreibt:
A vulnerability in Bluetooth(R) pairing potentially allows an attacker with physical proximity (within 30 meters) to gain unauthorized access via an adjacent network, intercept traffic and send forged pairing messages between two vulnerable Bluetooth(R) devices. This may result in information disclosure, elevation of privilege and/or denial of service.Laut der Bluetooth Special Interest Group (SIG) ist es jedoch unwahrescheinlich, dass eine größere Anzahl von Nutzern in der Praxis betroffen waren:
For an attack to be successful, an attacking device would need to be within wireless range of two vulnerable Bluetooth devices that were going through a pairing procedure. The attacking device would need to intercept the public key exchange by blocking each transmission, sending an acknowledgment to the sending device, and then injecting the malicious packet to the receiving device within a narrow time window. If only one device had the vulnerability, the attack would not be successful.
Von der Sicherheitslücke sind sowohl Bluetooth als auch Bluetooth LE betroffen. Als Apple-Nutzer ist man jedoch auf der sicheren Seite, wenn man die aktuellsten Versionen der jeweiligen Betriebssysteme verwendet. So wurde die Lücke in macOS High Sierra 10.13.5 bzw. 10.13.6, iOS 11.4, tvOS 11.4 und watchOS 4.3.1 gestopft. Auch Intel, Broadcom und Qualcomm haben bereits entsprechende Fixes verteilt, während Microsoft-Geräte offenbar nicht betroffen sind.