Erst im Mai hatte ein internationales Forscherteam eine gravierende Sicherheitslücke im Übertragungsstandard Bluetooth öffentlich gemacht, die praktisch alle Geräte mit der Technologie betraf. Jetzt warnt die für Bluetooth zuständige Special Interest Group (SIG) vor einer neuen Sicherheitslücke, die Milliarden Geräte betreffen soll. Die Schwachstelle ermöglicht sogenannte Man-in-the-Middle-Angriffe, wie Golem schreibt.

Forscher der schweizerischen École Polytechnique Fédérale de Lausanne und der US-amerikanischen Purdue University haben die Sicherheitslücke unabhängig voneinander entdeckt und die SIG schon im Dezember darauf hingewiesen. Betroffen sein sollen alle Geräte, die die Bluetooth-Versionen 4.2 bis 5.0 nutzen. Ein Patch ist derzeit noch nicht vorhanden. Bis die Sicherheitslücke geschlossen ist, könnte es aufgrund der Geräte- und Herstellervielfalt noch eine Weile dauern. Konkrete Details dazu gibt es noch nicht.

Die Sicherheitslücke wird als Blurtooth bezeichnet, weil sie sogenannte Blur-Attacken ermöglicht. Mit solchen Angriffen können Hacker sich Zugang zu persönlichen Daten auf einem Gerät verschaffen, die dort ohne weitere Beschränkung abgelegt sind, wie Futurezone.at berichtet. Die Lücke findet sich in der für Bluetooth essenziellen Funktion Cross-Transport-Key-Derivation (CTKD), dank der zwei Geräte kryptografische Schlüssel austauschen.

Die Sicherheitslücke ermöglicht es, dass Angreifer in die Vergabe der Schlüssel, die bei einem ersten Aufbau einer Bluetooth-Verbindung zwischen zwei Geräten ausgetauscht werden, eingreifen kann. Das angreifende Gerät kann sich dann als eines ausgeben, das in der Vergangenheit schon einmal mit dem anzugreifenden Gerät verbunden hatte – und umgeht somit die Sicherheitsprüfung. Über einen so möglichen Man-in-the-Middle-Angriff könnten Angreifer etwa die Eingaben von angeschlossenen Bluetooth-Tastaturen oder Bluetooth-Headsets abhören.