Bluetooth-PIN wurde erfolgreich geknackt

Abgesicherte Bluetooth-Verbindungen bieten keine ausreichende Sicherheit

Zwei israelische Computerexperten berichten, eine per PIN gesicherte Bluetooth-Verbindung erfolgreich geknackt zu haben, indem innerhalb kürzester Zeit die betreffende PIN errechnet wurde. Damit wurde der Zugang zu einer vermeintlich abgesicherten Bluetooth-Verbindung möglich, was neue Sicherheitsrisiken für den Einsatz von Bluetooth-Hardware bedeuten kann.

Artikel veröffentlicht am ,

Der in Israel tätige Dozent Avishai Wool hat zusammen mit seinem Absolventen Yaniv Shaked nach eigenen Angaben ein Verfahren entwickelt, womit sich eine vierstellige PIN zur Absicherung einer Bluetooth-Verbindung knacken lässt, indem das Herstellen einer Bluetooth-Verbindung nochmals erzwungen wurde. Dieses gezielte Aufrufen des als Pairing bezeichneten Verfahrens sieht die Bluetooth-Spezifikation ausdrücklich vor, bei der die PIN festgelegt wird.

Stellenmarkt
  1. Spezialist (m/w/d) IT-Security
    AOK Systems GmbH, Berlin, Bonn, Frankfurt am Main, Hamburg, München
  2. Solution Architect (m/w/d) medizinische Dokumentation
    KBV Kassenärztliche Bundesvereinigung, Berlin
Detailsuche

In diesen Pairing-Prozess haben sich die Forscher gezielt eingeschaltet, um so innerhalb kurzer Zeit die PIN einer solchen Verbindung zu erhalten. In entsprechenden Versuchen wurden auf einem PC mit einem Pentium III mit 450 MHz nur 0,3 Sekunden benötigt, um eine vierstellige PIN herauszubekommen. Wurde ein aktuellerer Rechner mit 3 GHz schnellem Pentium IV verwendet, sank die Dauer auf 0,06 Sekunden, bis Unbefugte im Besitz der PIN waren und so Zugriff auf das betreffende Bluetooth-Gerät erlangen konnten.

Da Bluetooth vor allem bei Mobiltelefonen eingesetzt wird, um darüber etwa drahtlos per Bluetooth-Headset zu telefonieren, könnte man auf recht einfache Weise vollen Zugriff auf die Handy-Funktionen erlangen. Man könnte darüber unbemerkt Anrufe führen oder Kurzmitteilungen auf Kosten des Handy-Besitzers versenden. Aber auch das Ausspionieren von Daten ist darüber möglich.

Üblicherweise werden zur Absicherung von Bluetooth-Verbindungen nur vierstellige PINs verwendet, die sich in den beschriebenen Versuchen sehr einfach errechnen ließen. Durch längere PINs steigt der Rechenaufwand, was etwas besser vor etwaigen Angriffen schützt, allerdings immer noch keine ausreichende Sicherheit bietet, wie die aktuellen Ergebnisse zeigen.

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
Weitere IT-Trainings

Früher bekannt gewordene Bluetooth-Angriffe setzten voraus, dass keine PIN-Vergabe erfolgt war und die Bluetooth-Verbindung somit ungeschützt und offen war. Die neuen Erkenntnisse zeigen nun, dass selbst die Absicherung einer Bluetooth-Verbindung mit einer PIN keinen verlässlichen Schutz vor Missbrauch bietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


me2 15. Apr 2009

Aber auch wenn der Artikel keine Zahlen nennt, so schreibt aber ausdrücklich: Wenn du...

tachauch 08. Jun 2005

Eingeschränkt ja. Der BT-Standard sieht explizit das Re-pairing vor womit dies quasi...

Andreas Bednarz 08. Jun 2005

Da finde ich den GRU besser :-))

V. 08. Jun 2005

Wenn dieser PIN der Schlüssel wäre, hättest Du zweifelsohne recht aber so einfach ist es...

Hm 08. Jun 2005

vielleicht habe ich jetzt etwas nicht richtig versverstanden bitte nehmts mir also nicht...



Aktuell auf der Startseite von Golem.de
Pluton in Windows 11
Lenovo will Microsofts Sicherheitschip nicht aktivieren

Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
Artikel
  1. Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
    Fernwartung
    Der Kundenansturm, der Teamviewer nicht gut getan hat

    Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
    Ein Bericht von Achim Sawall

  2. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

  3. Kryptohandel: Kryptobörse Binance soll Geldwäsche nicht kontrollieren
    Kryptohandel
    Kryptobörse Binance soll Geldwäsche nicht kontrollieren

    Die weltgrößte Krypto-Handelsbörse Binance soll es mit der Kontrolle von Geldwäsche nicht zu genau nehmen und zudem Informationen zurückhalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /