Bluetooth-Sicherheit

Angriffsvektor Bluetooth: Ist BlueBorne der ganze Eisberg, oder nur seine Spitze?
Kommentare

Am September-Patchday gab Microsoft bekannt, dass schon am Juli-Patchday die „Bluetooth Pineapple“-Schwachstelle im Bluetooth-Stack von Windows behoben wurde. Die Schwachstelle gehört zu einer ganzen Gruppe von Schwachstellen, genannt BlueBorne.

Bluetooth, das ist doch das Ding, mit dem man Daten zwischen Rechner und Smartphone austauscht. Oder Tastatur und Maus an den Rechner anschließt. Oder vielleicht auch mal einen Kopfhörer ans Smartphone. Irgendwas mit Funk, aber mit nur kurzer Reichweite. Das kann ja eigentlich nicht gefährlich sein, so nah kommt ja kein Angreifer ran, und da passiert ja auch nichts Gefährliches.

Das denken viele, und mit dem ersten Teil haben sie ja sogar Recht. Nur das mit der Gefahr und den möglichen Angreifern stimmt so leider nicht.

BlueBorne – Windows ist noch gut davon gekommen

Am September-Patchday hat Microsoft Details zur bereits im Juli behobenen Schwachstelle CVE-2017-8628 im Bluetooth-Stack veröffentlicht. Die Beschreibung der von Microsoft als „Wichtig“ („Important“) eingestuften Schwachstelle liest sich erst mal recht harmlos:

„A spoofing vulnerability exists in Microsoft’s implementation of the Bluetooth stack. An attacker who successfully exploited this vulnerability could perform a man-in-the-middle attack and force a user’s computer to unknowingly route traffic through the attacker’s computer. The attacker can then monitor and read the traffic before sending it on to the intended recipient.

To exploit the vulnerability, the attacker needs to be within the physical proximity of the targeted user, and the user’s computer needs to have Bluetooth enabled. The attacker can then initiate a Bluetooth connection to the target computer without the user’s knowledge.

The security update addresses the vulnerability by correcting how Windows handles Bluetooth requests.“

Es handelt sich „nur“ um eine Spoofing-Schwachstelle, der Angreifer kann einen MitM-Angriff ausführen und Daten über seinen Rechner leiten. Und das auch nur, wenn der Angreifer nah genug an sein Opfer heran kommt, und dann muss auf dessen Rechner auch noch Bluetooth eingeschaltet sein.

Nun, zumindest die letzte Bedingung ist doch des Öfteren erfüllt. Bei Desktop-Rechnern, weil über Bluetooth eine drahtlose Tastatur und/oder Maus mit dem Rechner verbunden ist, bei Mobilgeräten oft für die Verbindung zu einem Bluetooth-Kopfhörer oder den Datenaustausch mit einem Smartphone. Und zumindest bei mobilen Geräten ist es auch gar nicht so unwahrscheinlich, dass sich ein Angreifer in Bluetooth-Funkreichweite befindet. Jedenfalls nicht, wenn das Gerät in der Öffentlichkeit verwendet wird: In der Bahn, im Cafe, auf einer Konferenz, im Wartebereich von Bahnhof oder Flughafen, usw. Außerdem ist das „nah genug“ ziemlich relativ, denn damit sind ca. 10 Meter gemeint. Das ist nicht unbedingt das, was ich unter „Nähe“ verstehe. Und dazu kommt das Problem, dass sich die Entfernung u.U. auch vergrößern lässt, aber dazu später mehr.

Auch der Man-in-the-Middle-Angriff hat es in sich. Mehr, als man beim ersten Lesen vermuten würde. Betrachten wir erst mal nur einen MitM-Angriff auf die Bluetooth-Verbindungen zwischen einem Rechner und irgendeinem anderen Gerät. Denn es geht hier ja um Bluetooth, und da liegt es nah, auch den MitM in der Bluetooth-Verbindung zu vermuten.

Ich gebe zu: Ein MitM zwischen meinem Rechner oder Smartphone und meinem Kopfhörer würde mich vermutlich nicht weiter stören. Auch wenn der ziemlich fiese Streiche spielen könnte, z.B. durch unschöne Töne mit hoher Lautstärke. Aber das wäre Kinderkram. Was ich hingegen gar nicht gut fände, wäre ein MitM zwischen meiner Tastatur und meinem Rechner. Denn da könnte der Angreifer vertrauliche Daten wie z.B. Benutzernamen und Passwörter ausspähen. Oder aber womöglich auch eigene Tastendrücke einschleusen und dann z.B. Programme starten oder anderweitig Unheil anrichten.

Was sich über einen sich als Tastatur ausgebenden bösartigen USB-Stick erreichen lässt, lässt sich sicher auch über manipulierten Eingaben einer Bluetooth-Tastatur anrichten. Und über so eine vorgetäuschte USB-Tastatur lässt sich der Rechner übernehmen. Warum also nicht über von einem MitM zwischen Tastatur und Rechner eingeschleuste Tastendrücke?

Aber ich schweife ab, zurück zur Bluetooth-Schwachstelle und dem MitM-Angriff. Die Schwachstelle wurde von Forschern von Armis entdeckt und gehört wie schon erwähnt zu einer Gruppe von Bluetooth-Schwachstellen, genannt BlueBorne.

Die Schwachstelle befindet sich zwar im Bluetooth-Stack und wird über Bluetooth ausgenutzt, der MitM-Angriff betrifft aber die gesamte Kommunikation des Opfers. Der Angreifer kann über die Schwachstelle ein bösartiges Netzwerk-Interface auf dem Gerät anlegen, das IP-Routing umkonfigurieren und das Gerät dadurch zwingen, die gesamte Netzwerk-Kommunikation über den MitM zu leiten. Der sitzt also nicht nur in einer Bluetooth-Verbindung, sondern in der Internet-Verbindung seines Opfers.

Und das ist so ziemlich das Letzte, was man haben möchte. Schlimmer wäre eigentlich nur noch die Kompromittierung des Rechners. Auch wenn viele Internet-Verbindungen inzwischen durch SSL/TLS vor einem MitM-Angriff geschützt sind, bleiben für einen MitM noch genug Möglichkeiten übrig, um Schaden anzurichten. Und auch der Schutz von SSL/TLS lässt sich ja unter Umständen aushebeln. Außerdem benötigt der Angriff keine Benutzerinteraktion, keine Authentifizierung und kein Pairing, er ist also quasi unsichtbar. Das ist alles gar nicht gut. Ein Video des Angriffs gibt es auf YouTube.

Und trotz alle dem ist Windows mit seiner MitM-Schwachstelle noch relativ gut weg gekommen, denn Code konnten die Forscher über Bluetooth nicht einschleusen, ganz im Gegensatz zu Android und Linux.

BlueBorne im Überblick

Die Forscher von Armis haben ihrem Angriff den Namen „BlueBorne“ gegeben, weil er sich über die Luft verbreitet (auf Englisch „Airborne“) und Geräte über Bluetooth angreift. BlueBorne-Angriffe sind unabhängig von Benutzeraktionen, bestimmten Systemversionen oder -konfigurationen. Es reicht erst mal, wenn Bluetooth auf dem angegriffenen Gerät aktiviert ist.

Dann suchen die Geräte ständig nach eingehenden Verbindungsanfragen beliebiger Geräte und nicht nur von denen, mit denen es bereits ein Pairing gibt. Und wenn eine Anfrage kommt, ist die Kommunikation auch ohne Pairing möglich.

In der Vergangenheit wurde vor allem nach Schwachstellen im Bluetooth-Protokoll gesucht, und die gefundenen Probleme wurde im 2007 veröffentlichen Bluetooth 2.1 behoben. Die Armis-Forscher haben sich daher die verschiedenen Implementierungen angesehen, und sind dabei auf Schwachstellen gestoßen. Bluetooth ist ein schwierig zu implementierendes Protokoll, was zu zwei Problemen führt:

  1. Die Hersteller folgen den Implementierungs-Guidelines Wort für Wort, was dazu führt, dass es eine in der Implementierung eines Herstellers vorhandene Schwachstelle mit ziemlich hoher Wahrscheinlichkeit auch identisch oder ähnlich in anderen Implementierungen gibt. In diesem Fall trifft das auf die obige Windows-MitM-Schwachstelle zu, die einen „Zwilling“ in Android hat.
  2. Einige Bereiche der Bluetooth-Spezifikation lassen zu viel Raum für Interpretationen, sodass die Wahrscheinlichkeit für unterschiedliche Implementierungen und dadurch unterschiedliche Schwachstellen darin steigt.

Der Angriff im Überblick

Ein Blueborne-Angriff erfolgt in mehreren Schritten. Zuerst sucht der Angreifer in seiner Umgebung nach aktiven Bluetooth-Verbindungen. Die Geräte können auch dann identifiziert werden, wenn sie sich nicht im „Discoverable“-Modus befinden. Danach fragt der Angreifer die individuelle MAC-Adresse des Geräts ab und prüft, welches System auf dem Gerät läuft. Je nach System wird dann die auszunutzende Schwachstelle und damit der passende Exploit ausgewählt. Der Angreifer hat dabei bei Android-Geräten die Wahl zwischen einen MitM-Angriff auf die gesamte Kommunikation des Opfers und der vollständigen Kompromittierung des Geräts, Linux-Geräte können kompromittiert werden, und auf Windows-Geräten sind „nur“ die MitM-Angriffe möglich.

Betroffene Betriebssysteme

Armis hat 8 Schwachstellen entdeckt, und die Forscher befürchten, dass das nur die Spitze eines Eisbergs ist. Die gefundenen Schwachstellen wurden an die betreffenden Entwickler gemeldet und zum Teil inzwischen behoben. Nur zum Teil, weil es mal wieder Hersteller gab, der sich um die Meldungen nicht scherten.

Schutz vor Blueborne-Angriffe

Zunächst mal muss man zwischen zwei Problemen unterscheiden: Zum einen Angriffe auf die oben aufgeführten Schwachstellen, zum anderen Angriffen über Bluetooth allgemein.

Der beste Schutz vor Angriffen auf die obigen Schwachstellen besteht in der Installation der entsprechenden Patches. Für Geräte bzw. Systemversionen, für die es keinen Patch gibt, empfiehlt sich das Ausschalten von Bluetooth. Dann sind auch keine Angriffe möglich. Weder auf die obigen Schwachstellen, noch über Bluetooth allgemein.

Daher ist „Bluetooth ausschalten“ bisher auch der beste Schutz vor Bluetooth-Angriffen allgemein. Denn Schutzfunktionen wie Firewalls oder Intrusion Detection/Prevention Systeme sind bisher meist nicht auf Bluetooth-basierte Angriffe eingerichtet, die ignorieren Bluetooth einfach. Aber nachdem Armis auf diese Angriffsmöglichkeit aufmerksam gemacht hat und selbst eine Schutzlösung anbietet, dürften die anderen Anbieter bald mit entsprechenden Anpassungen folgen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -