"Blueborne" Forscher warnen vor Hackerangriffen per Bluetooth

Smartphones und Smartwatches als Ziel: Über ein "Blueborne" getauftes Schwachstellen-Paket könnten Hacker offenbar mehrere Milliarden Geräte ausspähen - wenn sie denn in Bluetooth-Reichweite sind.

Bluetooth-Verbindung
SPIEGEL ONLINE

Bluetooth-Verbindung


Wer Bluetooth nicht braucht, sollte es lieber deaktiviert lassen. Das legt eine unter dem Namen "Blueborne" vorgestellte Sammlung von Sicherheitslücken nahe. US-Forschern zufolge könnten kriminelle Hacker dank "Blueborne" Bluetooth-Verbindungen auf Smartphones, Smartwatches und PC ausnutzen, um Erpressersoftware zu installieren, Fotos auszulesen und das Gerät sogar zu steuern. Nach Angaben der Sicherheitsfirma Armis sind weltweit mehr als fünf Milliarden Geräte anfällig für diese Angriffe, sofern bei ihnen Bluetooth aktiviert wird.

Die Attacke verläuft demnach völlig unsichtbar. Der Angreifer muss zwar in der Nähe sein, aber die Geräte nicht standardmäßig koppeln. Es genügt, wenn das Opfer auf seinem Smartphone die Bluetooth-Funktion aktiviert hat und das Gerät ständig nach neuen Verbindungen in der Nähe sucht.

Würde es Angreifern gelingen, Schadsoftware auf dem Smartphone zu installieren, könnte das Zielgerät grundsätzlich auch dafür missbraucht werden, weitere Telefone zu infizieren, heißt es. So ein Wurm wäre hochinfektiös. Denn Bluetooth ist eine der am meisten benutzten Funktechniken, um Geräte auf kurze Distanz miteinander zu verbinden. Sehr viele technische Geräte wie Freisprecheinrichtungen, Kopfhörer, Smartwatches, Pulsmesser und Wohnzimmer-Assistenten wie Amazon Alexa und Google Home nutzen Bluetooth, um Daten zu übertragen.

In einem Beispielvideo zeigen die Armis-Forscher, wie ein Angriff per "Blueborne" aussehen könnte. Sie kapern das Google-Smartphone Pixel über eine Bluetooth-Verbindung. Der Angreifer übernimmt dabei vollständig die Kontrolle über das Telefon, knipst ein Foto der Nutzerin und lädt sich das Bild auf seinen Rechner.

YouTube-Video zur Attacke

Armis hatte die Betriebssystem-Entwickler bei Microsoft, Apple, Samsung und Google bereits im April über die Gefahr informiert. Am Dienstag hat daraufhin sowohl Microsoft als auch Google einen Patch veröffentlicht.

Bei Android-Smartphones bedeutet das Update allerdings nicht automatisch, dass die aktuelle Version die Sicherheitslücke beseitigt. Es kommt auf den Hersteller an, ob das September-Update an die Nutzer weitergeleitet wird. Um zu prüfen, ob das eigene Android-Smartphone von den "Blueborne"-Problemen betroffen ist, bietet Armis eine App in Googles Play Store an.

iPhones und iPads sind immun gegen den Angriff, wenn iOS 9.3.5 oder eine spätere Version auf dem Gerät installiert ist. Samsung hat laut den Forschern bisher nicht auf den Gefahrenhinweis reagiert. Bei dem Elektronikkonzern sind laut Armis unter anderem Galaxy-Smartphones betroffen, Smart-TVs und die Smartwatch Gear S3.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Schwachstelle. Das BSI empfiehlt, die verfügbaren Updates so schnell wie möglich zu installieren und die Bluetooth-Verbindung nicht dauerhaft einzuschalten, sondern nur dann zu aktivieren, wenn sie wirklich gebraucht wird.

jbr



insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
cptlars 14.09.2017
1. schon aus Akku technischen
Gründen sollte man Bluetooth deaktiviert lassen wenn man es nicht zwingend benötigt... Von daher ist diese Schwachstelle für mich eher sekundär...
swnf 14.09.2017
2. Patch
MS und Google haben also 5 Monate nachdem sie über die Schwachstelle informiert wurden einen Patch zur Verfügung gestellt. Bei iOS war man schon 8 Monate vor der Bekanntgabe immun (iOS9.3.5 gibt es seit 08/16). Wenn sich jetzt immer noch so viele fragen, wieso manche so blöd sind sich ein iPhone zu kaufen - hier sieht man zumindest einen Grund dafür!
sponor 14.09.2017
3. iOS vs Android - nicht nur schwarz-weiß
Nun, mein Fairphone 2 hat heute sein Update bekommen. Aber OK, Apple macht in der Regel einen guten Job, was Sicherheit angeht. Man verliert zwar seine Freiheit, aber wer's braucht... BTW: Hier steht, was FP wofür ausgibt: https://www.fairphone.com/de/unsere-ziele/was-wir-tun/kosten-fairphone/ Net result = 9 €. Dagegen Apple pro iPhone schätzungsweise (sie sagen das natürlich nicht freiwillig) so um die 60 Prozent.
erwachsener 14.09.2017
4. war ja klar.
Ich habe seit Jahren ein iPhone und fühle mich nicht unfrei, Nr. 3. Aber vielleicht bin ich ja verblendet. Worin also besteht meine Unfreiheit? Die Gewinnmarge, die Apple aus seinen Produktb bezieht, hat dagegen mit dem Thema nicht das geringste zu tun und ist nicht per se böse.
naklar261 15.09.2017
5. Bluetoothnutzer
Es hat sich herausgestellt dass dieser Artikel tatsächlich nur für Bluetoothnutzer relevant ist...ich hab ihn trotzdem gelesen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.