Braktooth-Sicherheitslücken: Millionen Bluetooth-Geräte könnten betroffen sein

Gleich 16 Sicherheitslücken haben Forscher bei verschiedenen Bluetooth-Chipsets entdeckt. Sie sind in Laptops, Lautsprechern und IoT-Geräten verbaut.

Artikel veröffentlicht am , Anna Biselli
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein.
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein. (Bild: HolgersFotografie/pixabay.com)

Sicherheitsforscher der Singapore University of Technology and Design haben gleich 16 Sicherheitslücken in kommerziell genutzten Bluetooth-Stack-Implementierungen gefunden, die sie unter dem Namen "Braktooth" zusammenfassen. Diese ermöglichen laut den Forschern teilweile Denial-of-Service-Angriffe, die ein Gerät lahmlegen oder die Bluetooth-Verbindung behindern können. Eine Lücke würde Angreifern sogar ermöglichen, über Remote-Code-Execution Software auf den betroffenen Geräten auszuführen.

Stellenmarkt
  1. Senior Operations Architect ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. E-Learning Manager (m/w/d)
    ALLPLAN GmbH, München
Detailsuche

Die Forscher untersuchten 13 Bluetooth-Chipsets von 11 verschiedenen Herstellern. Da viele Endgeräte die gleichen Bluetooth-Chips nutzen, gehen sie von mindestens 1.400 betroffenen Produkten aus. Die Chips sind beispielsweise in Laptops, Smartphones, IoT-Geräten oder Lautsprechern verbaut. Insgesamt dürften die Probleme Millionen an Endgeräten betreffen.

Um die Sicherheitslücken auszunutzen, muss sich ein Angreifer lediglich in der Nähe des verwundbaren Gerätes befinden. Und er braucht ein "günstiges ESP32-Entwicklungskit" mit einer bestimmten Firmware sowie einen PC, auf dem ein Tool läuft. Für keine der Lücken müsse man vorher ein Pairing oder eine Authentifizierung durchführen, hieß es.

Patches sind nur teilweise fertig

Nicht jedes Gerät, das einen betroffenen Bluetooth-Chipsatz nutze, sei unsicher, stellten die Forscher klar. Dennoch sei es gegebenenfalls von einer beeinträchtigten Bluetooth-Konnektivität betroffen. "Die Gesamtsicherheit eines Endprodukts, das über einen Chipsatz mit Firmware-Fehlern verfügt, hängt davon ab, inwieweit das Produkt für seine Hauptfunktionen auf einen solchen anfälligen Chipsatz angewiesen ist."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Das Tool, mit dem sich die Exploits ausführen lassen, wollen die Forscher erst Ende Oktober zur Verfügung stellen. Bisher können lediglich Hersteller Zugang erhalten, um die Sicherheitslücken zu erkennen und zu schließen. Einige haben das bereits getan, etwa Espressif Systems, Infineon und Bluetrum. Bei anderen sind Patches nicht absehbar. Das Sicherheitsteam von Texas Instruments habe gesagt, sie würden nur dann einen Patch erstellen, wenn dies von den Kunden verlangt werde. Von wiederum anderen bekamen die Forscher bisher keine Rückmeldung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ttloop 05. Sep 2021 / Themenstart

Die aufgedeckten Lücken sollen und können die Entwickler zukünftiger Bluetooth Geräte ja...

NaruHina 04. Sep 2021 / Themenstart

zumindest JBL boxen können geupdateten werden, die frage ist ob bzw. wann JBL eine...

katze_sonne 04. Sep 2021 / Themenstart

Und falls doch: Oh oh oh, das wird teuer! So teuer, dass das freiwillig...

Allandor 04. Sep 2021 / Themenstart

Naja, wenn sich Code per Angriff Ausführen lässt sollte sich das Gerät ja auch patchen...

Kommentieren



Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /