Mehrere Angriffe auf Bluetooth schließen das Thema "Bluetooth-Sicherheit" ab. Der erste "Angriff" ist eigentlich gar keiner: Beim so genannten Bluejacking werden Visitenkarten im VCard-Format per Bluetooth an andere Bluetooth-Geräte, i.A. Handys, gesendet, die statt des Namens des Absenders eine beliebige Nachricht enthalten. Der Empfänger liest zuerst die Nachricht, der übliche Zusatz wie 'will Ihnen eine Visitenkarte schicken. Akzeptieren?' oder ähnlich wird erst beim Scrollen angezeigt. Von diesem "Angriff" geht keine Gefahr aus, er ist allenfalls lästig. Bluejacking kann potenziell gefährlich werden, wenn der dabei initiierte Handshake-Prozess vollendet wird, wozu aber die Zustimmung des Opfers notwendig ist. Der Angreifer erhält dadurch eine vertrauenswürdige Verbindung zum angegriffenen Gerät und kann auf die darauf gespeicherten Informationen zugreifen. Solange das Opfer dem Verbindungsaufbau nicht zustimmt, besteht aber keine Gefahr.

Gefährlicher als Bluejacking sind einige andere Angriffe, z.B. das so genannte Bluesnarfing. Entdeckt wurde es im November 2003 durch Adam Laurie, als er in einigen Bluetooth-Geräten Schwachstellen in den Authentisierungs- und Datenübertragungsfunktionen fand. Martin Herfurt fand eine weitere Schwachstelle, über die auf die AT-Befehle eines betroffenen Geräts zugegriffen werden kann. Darüber ist der Zugriff auf höhere Befehlsschichten und die Daten- und Sprachkommunikation möglich. Alle bisher bekannt gewordenen Schwachstellen beruhen auf Implementierungsfehlern, im Bluetoothstandard selbst wurden bisher keine Schwachstellen gefunden.

Aus diesen und weiteren Schwachstellen wurden mehrere Angriffe entwickelt, z.B.:

• BlueSnarf
  Der BlueSnarf-Angriff ist dadurch bekannt geworden, dass er die erste in Bluetooth-Geräten gefundene Schwachstelle ausnutzt. Bei einigen Geräten kann anonym und ohne Wissen und Zustimmung des Eigentümers auf gespeicherte Daten zugegriffen werden. Ursache ist ein Fehler in der Implementierung des OBEX Push Profile (OPP) für den Austausch von z.B. Visitenkarten, durch den alle Dateien, deren Name bekannt ist oder richtig geraten wurde, heruntergeladen werden können.
  Ein ähnlicher Angriff ist BlueSnarf++. Angriffspunkt ist wieder das OBEX Push Profile. Es wird ein OBEX FTP-Server eingesetzt, über den auf alle Dateien auf dem angegriffenen Gerät lesend und schreibend zugegriffen werden kann. Ein Pairing ist dabei nicht notwendig, sodass das Opfer dem Verbindungsaufbau nicht zustimmen muss.
• BACKDOOR
  Beim BACKDOOR-Angriff wird zuerst eine Vertrauensbeziehung zum angegriffenen Gerät aufgebaut, danach wird das angreifende Gerät aber aus der Liste mit dem Opfer verbundener Geräte entfernt. Danach können unbemerkt alle Aktionen durchgeführt werden, die vertrauten Geräten erlaubt sind. So ist es möglich, den gesamten Speicherinhalt einschließlich gespeicherter Bilder und Textnachrichten zu lesen. Der Angreifer erhält dabei im Prinzip ein vollständiges Backup des angegriffenen Geräts.
• BlueBug
  Beim BlueBug-Angriff wird über zwei "geheime", ungeschützte RFCOMM-Kanäle eine serielle Verbindung zum angegriffenen Gerät aufgebaut, wodurch der uneingeschränkte Zugriff auf alle AT-Befehle möglich ist. Damit kann der Angreifer die Kontrolle über das angegriffene Gerät übernehmen. Mögliche Folgen sind z.B.
  • Absetzen von Telefongesprächen, z.B. zum Angreifer (um das Opfer zu belauschen) oder zu kostenpflichtigen Telefonnummern
  • Senden von SMS
  • Kopieren des Adressbuchs und Kalenders
  • Aktivieren einer Rufumleitung oder Nutzung des Internetzugangs
• BTChaos
  Der BTChaos-Angriff nutzt eine von Integralis gefundene Schwachstelle aus, um AT-Befehle auszuführen, und hat ähnliche Folgen wie ein BlueBug-Angriff.
• Blooover
  Blooover (abgeleitet von Bluetooth Hoover) ist ein 2004 vorgestelltes Proof-of-Concept-Tool in Java. Während davor Notebooks für die Angriffe nötig waren, läuft Bloover auf Java-ME-fähigen Mobiltelefonen und erlaubt die unauffällige Durchführung von BlueBug-Angriffen.
• HeloMoto
  Der HeloMoto-Angriff ist eine Kombination aus BlueSnarf- und BlueBug-Angriff. Eine Schwachstelle in der 'trusted device'-Implementierung in einigen Motorola-Telefonen erlaubt es dem Angreifer, durch den Abbruch des Sendens einer vCard als vertrauenswürdiges Gerät eingestuft zu werden und danach ohne Authentisierung über das Headset Profile die Kontrolle über das Gerät zu übernehmen.

Außer den oben beschriebenen Angriffen sind auch Denial-of-Service-Angriffe möglich:

• BlueSmack ähnelt dem Ping-of-Death für TCP/IP (siehe About Security #58).
• BlueChop stört aufgebaute Piconets, indem ein nicht beteiligtes Gerät sich als Slave ausgibt und dadurch den Master verwirrt.
• BlueDump ist kein Denial-of-Service-Angriff im eigentliche Sinne. Stattdessen wird ein Gerät dabei dazu gebracht, seine gespeicherten Link Keys zu verwerfen und einen neuen Schlüsselaustausch zu starten, der dann vom Angreifer belauscht werden kann.

Während Bluetooth normalerweise eine Reichweite von 10 Metern hat, wurde mit einer speziellen Antenne ein BlueSnarf-Angriff über eine Entfernung von 1,78 km durchgeführt. Der Angreifer muss also nicht zwingend nahe an sein Opfer heran. Die Gegenmaßnahme gegen die Angriffe ist einfach: Vorhandene Firmwareupdates installieren und Bluetooth nur aktivieren, wenn es benötigt wird. Die Sichtbarkeit für andere Bluetooth-Geräte zu deaktivieren, senkt das Risiko nur bedingt: Es gibt Tools, um nicht sichtbare Geräte aufzuspüren.

Damit ist das Thema "Bluetooth-Sicherheit" abgeschlossen. In der nächsten Folge geht es um die Sicherheit der wohl gefährdetsten mobilen Geräte: Notebooks.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – Bluetooth"

• About Security #118: Mobile Security – Bluetooth-Grundlagen
• About Security #119: Mobile Security – Bluetooth-Schlüssel
• About Security #120: Mobile Security – Bluetooth-Authentisierung
• About Security #121: Mobile Security – Bluetooth-Schwachstellen
• About Security #122: Mobile Security – Bluetooth-Angriffe