BrakTooth: Neue Bluetooth-Lücken aufgedeckt

BrakTooth: Neue Bluetooth-Lücken aufgedeckt

 

White-Hat-Hacker haben unter dem Namen BrakTooth eine Reihe von Sicherheitslücken in handelsüblichen Bluetooth-Geräten aufgedeckt – und warnen vor der mangelnden Bereitschaft einiger Hersteller, die Schwachstellen zu beheben.

Das Team fügte hinzu: „BrakTooth betrifft große System-on-Chip (SoC)-Anbieter wie Intel, Qualcomm, Texas Instruments, Infineon (Cypress), Silicon Labs und andere.“

Die Schwachstellen in BrakTooth betreffen schätzungsweise mehr als 1.400 kommerzielle Produkte, darunter Microsofts Surface Pro 7, Surface Laptop 3, Surface Book 3 und Surface Go 2 sowie das Volvo FH-Infotainment-System. Es wird behauptet, dass die Schwachstellen „grundlegende Angriffsvektoren im geschlossenen BT [Bluetooth]-Stack“ offenlegen. Es ist auch nicht das erste Mal, dass das gleiche Team solche Behauptungen aufstellt: ASSET war auch für die Offenlegung der SweynTooth-Schwachstellen im Februar letzten Jahres verantwortlich.

Zwar wurden alle 16 Schwachstellen an die Hersteller gemeldet, doch die erhaltenen Antworten sind sehr unterschiedlich. Espressif, dessen beliebte ESP32-Mikrocontroller-Familie betroffen war, hat als einer der ersten einen Patch veröffentlicht, der die Lücken schließt, ebenso wie Bluetrum Technology und Infineon. Intel, Actions und Zhuhai Jieli Technology haben bestätigt, dass sie entweder die Schwachstellen untersuchen oder aktiv Patches entwickeln.

Harman International und SiLabs haben dagegen „kaum mit dem Team kommuniziert“, so die Forscher, „und der Status ihrer Untersuchung ist bestenfalls unklar“.

 

Schlechte Nachrichten

 

Schlechte Nachrichten gab es dagegen von Texas Instruments und Qualcomm: Erstere erklärten rundheraus, dass sie keine Patches für die Schwachstellen erstellen werden, es sei denn, sie werden von den Kunden verlangt“, während letztere nur eines ihrer betroffenen Bauteile patchen – obwohl die ungepatchten Chips immer noch in brandneuen Produkten auf der ganzen Welt auftauchen.

Was genau ein Angreifer mit den ungepatchten Schwachstellen anstellen kann, ist von Gerät zu Gerät unterschiedlich, aber keine der Möglichkeiten ist gut.

Das Team hat gezeigt, wie beliebiger Code auf einem ESP32-Mikrocontroller ausgeführt werden kann, der häufig in Geräten für das Internet der Dinge (IoT) zu finden ist, die selten oder nie von ihren Herstellern aktualisiert werden, wie Denial-of-Service-Angriffe auf Laptops und Smartphones mit Intel AX200- und Qualcomm WCN3390-Chips durchgeführt werden können und wie Kopfhörer und andere Bluetooth-Audiogeräte eingefroren oder abgeschaltet werden können.

Um die Hersteller bei der Behebung der Schwachstellen zu unterstützen, hat das ASSET-Team ein Proof-of-Concept-Angriffstool entwickelt. Um das Unvermeidliche hinauszuzögern, hat es jedoch erklärt, dass es nur denjenigen zur Verfügung stehen wird, die bereit sind, „bestimmte grundlegende Informationen (Funktion, Organisation und gültige E-Mail)“ zu liefern, die die Legitimität ihres Interesses belegen.

„Wie sollte jeder mit der Verwendung von Bluetooth-Geräten umgehen, insbesondere wenn die verwendeten Geräte von BrakTooth betroffen sind? Zunächst einmal“, schrieb Yee Ching Tok, Mitarbeiter des Internet Storm Center (ISC), in einer Analyse der Enthüllung, „sollte man bei der Verwendung von Bluetooth auf seine Umgebung achten.

 

Norwegischer Student entdeckt Lücke

 

Ein norwegischer Student, der in Oslo mit dem Fahrrad unterwegs war, hat herausgefunden, dass mehrere gängige Bluetooth-Kopfhörermodelle keine zufällige MAC-Adressvergabe vorsehen, was bedeutet, dass sie zum Aufspüren ihrer Träger verwendet werden können.

Der norwegische Staatssender NRK enthüllte Bjorn Hegnes‘ Erkenntnisse, nachdem er ihm bei der Analyse der Bluetooth-Emissionen von einem Dutzend verschiedener Kopfhörermodelle geholfen hatte, die in 1,7 Millionen abgefangenen Bluetooth-Nachrichten enthalten waren. Hegnes sammelte die Daten im Rahmen seines Erstsemesterprojekts an der Universität Norof.

Die Analyse war möglich, weil Bluetooth-Geräte in der Regel standardmäßig ihre eindeutigen Identitäten senden. Es stellte sich jedoch heraus, dass von allen Kopfhörern, die Hegnes abfing, kein einziger eine Zufallsgenerierung der Adressen vornahm.

Ohne diese Randomisierung war es ein Leichtes, die Geräte wiederholt anzupiepsen und so den genauen Standort ihrer Träger zu ermitteln, während sie in der Stadt Oslo unterwegs waren.