Software::Security

BlueBorne: Bluetooth-Sicherheitslücken in vielen Systemen

Die Sicherheitsfirma Armis hat acht weit verbreitete Sicherheitslücken in der Bluetooth-Implementation von Android, Linux, iOS und MS Windows gefunden. Insbesondere für Android sind die Lücken kritisch. Der September-Patch von Google behebt sie, aber viele Benutzer, die Updates von ihrem Gerätehersteller erhalten, dürften immer noch auf die Korrektur warten.

Amris

Die in diesem Jahr gegründete Sicherheitsfirma Amris , Anbieter eines netzwerkbasierten Einbruchserkennungssystem, hat schwerwiegende Sicherheitslücken in der Implementierung der Bluetooth-Protokolle gefunden. Im schlimmsten Fall können diese Lücken zur kompletten Übernahme des Systems aus der Ferne (innerhalb der begrenzten Reichweite von Bluetooth) führen. Dazu muss weder eine Verbindung bestehen noch das Gerät entdeckbar sein. Auch die Benutzer sind nicht involviert. Insbesondere Android-Nutzer sollten wohl Bluetooth erst einmal komplett abgeschaltet lassen, bis sie sicher sein können, dass die Probleme behoben sind.

Insgesamt wurden acht Lücken beschrieben. Amris nannte diese Lücken in ihrer Gesamtheit BlueBorne, ein Kofferwort aus Bluetooth und Airborne. Es handelt sich um Lücken, die über Funk angegriffen werden und daher von üblichen Schutzmaßnahmen und Firewalls nicht gestoppt werden können. Ein Whitepaper beschreibt die Lücken genauer.

Nach eigenen Angaben entdeckte Amris die Lücken früher im Jahr und benachrichtigte Google und Microsoft am 19. April. Apple wurde am 9. August kontaktiert, weil nur in älteren Versionen von iOS ein Problem gefunden wurde. Samsung, das sowohl Android- als auch Linux (Tizen)-Geräte herstellt, wurde im April, Mai und Juni dreimal kontaktiert und es gab keinerlei Reaktion. Die Linux-Kernel-Entwickler wurden im August benachrichtigt und erhielten erst eine Woche vor der Bekanntgabe der Probleme genauere Informationen.

Android enthält demnach vier Sicherheitslücken. CVE-2017-0785 ermöglicht es, Speicher auszulesen und ist laut Armis mit Heartbleed vergleichbar. Das Problem steckt im Service Discovery Protocol (SDP)-Server. CVE-2017-0781 und CVE-2017-0782 ermöglichen durch Überschreiben von Speicher die komplette Übernahme des Systems. Ersteres ist ein Problem im Bluetooth Network Encapsulation Protocol (BNEP)-Dienst, das zweite im eine Ebene höher angesiedelten Personal Area Networking (PAN)-Profil. CVE-2017-0783 ermöglicht einen Man in The Middle-Angriff, benötigt aber spezielle Hardware beim Angreifer. Bis auf die erste Lücke sind alle Angriffe komplett unsichtbar für die Benutzer. Google hat die Lücken im September-Update für alle Android-Versionen seit 4.4 geschlossen.

In Linux wurden zwei Lücken entdeckt, die wohl seit Version 3.3 bestehen. Es handelt sich dabei um ein Problem im SDP-Server ähnlich wie bei Android (CVE-2017-1000250) und um einen Stack-Überlauf im L2CAP-Protokoll, der zu einer kompletten Übernahme des Systems führen kann (CVE-2017-1000251). Über die Verfügbarkeit von Updates liegen noch keine Informationen vor.

In MS Windows wurde die Lücke CVE-2017-8628 entdeckt, die wie bei Android den SDP-Dienst betrifft. Patches für Windows 10 sollen seit gestern verfügbar sein. Auch in iOS existiert eine Lücke, die zu einer kompletten Übernahme des Systems führen kann. Dabei handelt es sich um ein Apple-spezifisches Problem im Low Energy Audio Protocol (LEAP). Das aktuelle iOS 10 soll nicht betroffen sein, für frühere Versionen dürfte es Updates geben.