Braktooth-Sicherheitslücken: Millionen Bluetooth-Geräte könnten betroffen sein

Gleich 16 Sicherheitslücken haben Forscher bei verschiedenen Bluetooth-Chipsets entdeckt. Sie sind in Laptops, Lautsprechern und IoT-Geräten verbaut.

Artikel veröffentlicht am , Anna Biselli
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein.
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein. (Bild: HolgersFotografie/pixabay.com)

Sicherheitsforscher der Singapore University of Technology and Design haben gleich 16 Sicherheitslücken in kommerziell genutzten Bluetooth-Stack-Implementierungen gefunden, die sie unter dem Namen "Braktooth" zusammenfassen. Diese ermöglichen laut den Forschern teilweile Denial-of-Service-Angriffe, die ein Gerät lahmlegen oder die Bluetooth-Verbindung behindern können. Eine Lücke würde Angreifern sogar ermöglichen, über Remote-Code-Execution Software auf den betroffenen Geräten auszuführen.

Stellenmarkt
  1. Technical IT Security Consultant - IT Security Engineer (m/w/d)
    SySS GmbH, Tübingen
  2. Senior Data Architekt (m/w / divers)
    Continental AG, Frankfurt
Detailsuche

Die Forscher untersuchten 13 Bluetooth-Chipsets von 11 verschiedenen Herstellern. Da viele Endgeräte die gleichen Bluetooth-Chips nutzen, gehen sie von mindestens 1.400 betroffenen Produkten aus. Die Chips sind beispielsweise in Laptops, Smartphones, IoT-Geräten oder Lautsprechern verbaut. Insgesamt dürften die Probleme Millionen an Endgeräten betreffen.

Um die Sicherheitslücken auszunutzen, muss sich ein Angreifer lediglich in der Nähe des verwundbaren Gerätes befinden. Und er braucht ein "günstiges ESP32-Entwicklungskit" mit einer bestimmten Firmware sowie einen PC, auf dem ein Tool läuft. Für keine der Lücken müsse man vorher ein Pairing oder eine Authentifizierung durchführen, hieß es.

Patches sind nur teilweise fertig

Nicht jedes Gerät, das einen betroffenen Bluetooth-Chipsatz nutze, sei unsicher, stellten die Forscher klar. Dennoch sei es gegebenenfalls von einer beeinträchtigten Bluetooth-Konnektivität betroffen. "Die Gesamtsicherheit eines Endprodukts, das über einen Chipsatz mit Firmware-Fehlern verfügt, hängt davon ab, inwieweit das Produkt für seine Hauptfunktionen auf einen solchen anfälligen Chipsatz angewiesen ist."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

Das Tool, mit dem sich die Exploits ausführen lassen, wollen die Forscher erst Ende Oktober zur Verfügung stellen. Bisher können lediglich Hersteller Zugang erhalten, um die Sicherheitslücken zu erkennen und zu schließen. Einige haben das bereits getan, etwa Espressif Systems, Infineon und Bluetrum. Bei anderen sind Patches nicht absehbar. Das Sicherheitsteam von Texas Instruments habe gesagt, sie würden nur dann einen Patch erstellen, wenn dies von den Kunden verlangt werde. Von wiederum anderen bekamen die Forscher bisher keine Rückmeldung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ttloop 05. Sep 2021

Die aufgedeckten Lücken sollen und können die Entwickler zukünftiger Bluetooth Geräte ja...

NaruHina 04. Sep 2021

zumindest JBL boxen können geupdateten werden, die frage ist ob bzw. wann JBL eine...

katze_sonne 04. Sep 2021

Und falls doch: Oh oh oh, das wird teuer! So teuer, dass das freiwillig...

Allandor 04. Sep 2021

Naja, wenn sich Code per Angriff Ausführen lässt sollte sich das Gerät ja auch patchen...



Aktuell auf der Startseite von Golem.de
Der Herr der Ringe
Filme, Spiele und Sauron-Quietscheentchen

Abgesehen von den Buchrechten bekommt Mittelerde einen neuen Besitzer. Golem.de stellt schöne und schräge Lizenzprodukte vor.
Von Peter Steinlechner

Der Herr der Ringe: Filme, Spiele und Sauron-Quietscheentchen
Artikel
  1. E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
    E-Mountainbike Graveler 29 Zoll
    Aldi verkauft Mountain-E-Bike von Prophete

    Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

  2. Hacking: Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher
    Hacking
    Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher

    Mit einer neuen Version des Bad-USB-Sticks Rubber Ducky lassen sich Rechner noch leichter angreifen und neuerdings auch heimlich Daten ausleiten.

  3. Toyota, CATL etc.: China schließt Fabriken wegen Hitzewelle
    Toyota, CATL etc.
    China schließt Fabriken wegen Hitzewelle

    Unter anderem Chinas größter Batteriehersteller muss seine Fabriken in Sichuan für eine Woche schließen - Grund ist eine Hitzewelle.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /