BlueBorne-Sicherheitslücke in Android, Linux, Windows …

Milliarden an Geräten sind durch eine Sicherheitslücke im Bluethooth-Protokoll angreifbar. Die BlueBorne getaufte Sicherheitslücke betrifft nicht nur Windows, sondern auch Geräte mit beispielsweise Android oder Linux.

Als ich auf den Begriff stieß, traf mich erst einmal der Schlag. Jetzt wird mein Name in direktem Zusammenhang mit einer fetten Sicherheitslücke genannt. Na ja, ist der Ruf erst ruiniert, bloggt's sich gänzlich ungeniert.

Die BlueBorne-Sicherheitslücke

Zwei Sicherheitsexperten von Armis​ ​Labs haben Zero-Day-Lücken im Bluetooth-Stack entdeckt und in diesem PDF-Dokument beschrieben. Das Dokument führt explizit folgende Sicherheitslücken auf:

• Linux kernel RCE vulnerability – CVE-2017-1000251
• Linux Bluetooth stack (BlueZ) information Leak vulnerability – CVE-2017-1000250
• Android information Leak vulnerability – CVE-2017-0785
• Android RCE vulnerability #1 – CVE-2017-0781
• Android RCE vulnerability #2 – CVE-2017-0782
• The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
• The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
• Apple Low Energy Audio Protocol RCE vulnerability – CVE-2017-14315

Es sind quasi alle Anbieter, von Apple über Googles Android über Linux und Microsofts Windows dabei. Jedes Bluetooth-Geräte, welches ungepatcht ist, kann auf Grund eines Designfehlers im Umkreis von ca. 10 Metern angegriffen werden. Den Forschern ist es gelungen, Schadcode auf das Gerät zu schicken.

Der Nutzer braucht da nichts anzuklicken oder anzutippen, es reicht, wenn Bluetooth aktiv ist. Und das ist bei vielen Gerätekombinationen wie Bluetooth-Maus und –Tastatur, –Lautsprechern, Entertainmentsystemen im Auto, Wearables etc. der Fall. Die folgenden zwei Videos demonstrieren das Prinzip und den Angriff.

(Quelle: YouTube)

(Quelle: YouTube)

Im zweiten Video wird gezeigt, wie man ein Google Pixel übernehmen und z.B. Fotos remote schießen kann. Sowohl The Hacker News, als auch Asrtechnica haben Beiträge zum Thema veröffentlicht. Bei heise.de finden sich noch einige ergänzende deutschsprachige Informationen in diesem Artikel.

Riesige Geräteanzahl betroffen

Eine Übersicht haben die Forscher auf dieser Amris Labs-Seite veröffentlich. Sie schreiben, dass es aktuell mehr als 8,2 Milliarden BlueTooth-Geräte gebe. Die aktuellen Zahlen gehen von The latest published reports show more than 2 Milliarden Android-Geräten, 2 Milliarden Windows-Systemen und 1 Milliarde Apple-Geräten aus. Gartner gibt zudem an, dass 8 Milliarden IoT-Geräte mit anderen Geräten vernetzt sind. Viele dieser Geräte nutzen Bluetooth zur Kommunikation.

Patchen oder Bluetooth abschalten

Die effektivste Möglichkeit, sich zu schützen, besteht darin, auf Bluetooth zu verzichten. Das dürfte aber für viele Anwendungsfälle keine Option sein. Die andere Variante besteht darin, entsprechende Updates zu installieren. Hier eine Übersicht, was Sachstand ist.

• Google: Wurde am 19. April  2017 kontaktiert. Mit dem Sicherheitsupdate vom 4. September 2017 für Android ist die Lücke adressiert.
• Microsoft: Wurde am 19. April  2017 kontaktiert. Am 11. Juli 2017 wurde ein Update für Windows bereitgestellt.
• Apple: Wurde am 9. August 2017 kontaktiert, Apple hat aber keine Sicherheitslücken in seinen aktuellen OS-Versionen.
• Samsung: Wurde im April, Mai und Juni kontaktiert, es gab aber keine Reaktion oder Rückmeldung.
• Linux: Das  Linux kernel security team und die Linux distributions security contact list wurden am 15. August und am 17. August 2017 informiert. Am 5. September 2017 wurden die notwendigen Informationen gegeben und es fand ein Austausch statt. Ziel ist ein Update am 12. September 2017.

Am 12. September 2017 wurde die Sicherheitslücke dann in einer koordinierte Aktion von den Sicherheitsforschern veröffentlicht. Bei Android haben wir jetzt wohl das 'Diesel-Gate', wobei es dort selbst mit einem Software-Update bei vielen Geräten Essig ist. Und ein Update bei IoT-Geräten dürfte auch ein frommer Wunsch bleiben.