Anzeige
Anzeige
News
Artikel merken

Braktooth: 16 neue Bluetooth-Sicherheitslücken bedrohen Millionen Geräte

Forscher haben Lücken in den Bluetooth-Standards 3.0 bis 5.2 entdeckt. Die betreffen Notebooks, Tablets, Smartphones, Audio- und Smarthome-Geräte und – besonders heftig – Devices im Internet der Dinge.

2 Min. Lesezeit
Anzeige
Anzeige

Und wieder: Sicherheitslücken in Bluetooth gefunden. (Bild: Shutterstock)

Sicherheitsforscher der Singapore University of Technology and Design zeigen sehr detailliert 16 neue Bluetooth-Lücken auf, die Millionen von Geräten betreffen. Die Auswirkungen dieser Lücken in kommerziellen Bluetooth-Stacks reichen von einfachen Funktionsstörungen über die komplette Abschaltung der Geräte bis hin zur willkürlichen Ausführung von Programmcode in betroffenen IoT-Devices (IoT: Internet of Things, Internet der Dinge).

Braktooth: Funktionsverlust als Hauptproblem

Anzeige
Anzeige

Da die meisten Lücken einen Funktionsverlust ermöglichen, haben die Forscher dem Schwachstellenpaket den Namen Braktooth gegeben. Brak ist norwegisch und bedeutet in englischer Sprache Crash – in diesem Zusammenhang also auf Deutsch am besten mit Absturz zu übersetzen. Eine Beurteilung des tatsächlichen Bedrohungsgrades der einzelnen Lücken steht noch aus.

Alle Lücken sind den betroffenen Herstellern, soweit die Forscher sie ermitteln konnten, bereits mitgeteilt. Betroffen sind auch bekannte Hersteller wie Intel, Qualcomm, Texas Instruments, Infineon (vormals Cypress) und Harman International. Das aufgrund ihrer Verbreitung in der Praxis größte Schadpotenzial haben indes Komponenten des chinesischen Herstellers Zhuhai Jieli.

Anzeige
Anzeige

Da die immer gleichen Komponenten in unzähligen Produkten verbaut werden, ist schwer einzuschätzen, wie viele Geräte schlussendlich von Braktooth betroffen sind. Jedenfalls geht es nicht bloß um unbedeutende Devices, die lediglich in Nischen benötigt werden. Die Forscher haben versucht, wenigstens beispielhaft betroffene Produkte zu identifizieren. Dabei haben sie Surface-Laptops und -Tablets von Microsoft und Dell, Smartphones von Sony und Oppo, Audio- und Infotainment-Geräte von Panasonic, Becker und Volvo und sogar Lichtsteuerungen von Hella gefunden. Im folgenden Video zeigen sie, wie sie die Firmware eines JBL-Kopfhörers zum Absturz bringen, sodass dieser die weitere Funktion einstellt:

Anzeige
Anzeige

Dabei ist das Bedrohungsszenario nicht etwa umständlich herzustellen. Es reicht, wenn bei dem anzugreifenden Gerät Bluetooth eingeschaltet ist und es sich in Funkreichweite befindet. Eine Authentifizierung ist nicht erforderlich. Den Forschern war es unter Verwendung eines mit einer modifizierten Firmware versehenen ESP32-Development-Kits und einem Notebook, das die Angriffssoftware ausführte, gelungen, betroffene Geräte mit ESP32-SoC (System-on-a-Chip) zuverlässig zu attackieren.

Hersteller reagieren mit Zurückhaltung

Als die Forscher die Hersteller mit ihren Erkenntnissen konfrontierten, reagierten die durchaus anders als erwartet. Bisher haben nur Espressif Systems, Infineon und Bluetrum Patches für die betroffenen Produkte veröffentlicht und den OEMs zugänglich gemacht. Qualcomm und Zhuhai Jieli wollen Patches nur für einige der betroffenen Produkte rausbringen. Texas Instruments will nur reagieren, wenn seine Kunden das verlangen, und Harman und Silabs haben nach Angaben der Forscher gar nicht reagiert.

Anzeige
Anzeige

Wie stets sind IoT-Geräte auch bei diesem Lückenpaket wieder besonders kritisch zu sehen. Denn besonders die älteren Geräte sind gar nicht für Firmware-Updates vorgesehen, laufen aber viele Jahre, dann mit unsicherer Software. Nun könnte man einwenden, dass der Zeitablauf auch die Probleme löst. Tatsache aber ist, dass immer noch Qualcomm-Chips mit ROMs, die älter als 2011 sind, in neue Geräte gebaut werden.

Die Braktooth-Enthüllungen sollten Bluetooth-Nutzer jedenfalls nutzen, um den Status ihrer jeweiligen Firmware zu ermitteln. Der beste Schutz gegen Bluetooth-Schwachstellen ist es, Bluetooth generell abzuschalten und nur zu aktivieren, wenn es unmittelbar genutzt werden soll. Implementationen auf der Basis von Bluetooth LE (Low Energy) sind von Braktooth nicht betroffen.

In Bluetooth werden immer wieder Sicherheitslücken gefunden. Kritiker monieren seit Jahren, dass der Bluetooth-Standard im Grunde viel zu komplex für seine tatsächlichen Anwendungsfälle wie dem kabellosen Streamen von Musik sei. Dafür sei eine einfachere Technologie völlig ausreichend.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige