Braktooth-Sicherheitslücken: Millionen Bluetooth-Geräte könnten betroffen sein

Gleich 16 Sicherheitslücken haben Forscher bei verschiedenen Bluetooth-Chipsets entdeckt. Sie sind in Laptops, Lautsprechern und IoT-Geräten verbaut.

Artikel veröffentlicht am , Anna Biselli
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein.
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein. (Bild: HolgersFotografie/pixabay.com)

Sicherheitsforscher der Singapore University of Technology and Design haben gleich 16 Sicherheitslücken in kommerziell genutzten Bluetooth-Stack-Implementierungen gefunden, die sie unter dem Namen "Braktooth" zusammenfassen. Diese ermöglichen laut den Forschern teilweile Denial-of-Service-Angriffe, die ein Gerät lahmlegen oder die Bluetooth-Verbindung behindern können. Eine Lücke würde Angreifern sogar ermöglichen, über Remote-Code-Execution Software auf den betroffenen Geräten auszuführen.

Stellenmarkt
  1. IT Integration Analyst Digital Services (m/w/d)
    ALDI International Services GmbH & Co. oHG, Düsseldorf, Dortmund, Duisburg, Mülheim an der Ruhr
  2. Data Center Operations Manager (m/w/d)
    GRAMMER AG, Ursensollen bei Amberg
Detailsuche

Die Forscher untersuchten 13 Bluetooth-Chipsets von 11 verschiedenen Herstellern. Da viele Endgeräte die gleichen Bluetooth-Chips nutzen, gehen sie von mindestens 1.400 betroffenen Produkten aus. Die Chips sind beispielsweise in Laptops, Smartphones, IoT-Geräten oder Lautsprechern verbaut. Insgesamt dürften die Probleme Millionen an Endgeräten betreffen.

Um die Sicherheitslücken auszunutzen, muss sich ein Angreifer lediglich in der Nähe des verwundbaren Gerätes befinden. Und er braucht ein "günstiges ESP32-Entwicklungskit" mit einer bestimmten Firmware sowie einen PC, auf dem ein Tool läuft. Für keine der Lücken müsse man vorher ein Pairing oder eine Authentifizierung durchführen, hieß es.

Patches sind nur teilweise fertig

Nicht jedes Gerät, das einen betroffenen Bluetooth-Chipsatz nutze, sei unsicher, stellten die Forscher klar. Dennoch sei es gegebenenfalls von einer beeinträchtigten Bluetooth-Konnektivität betroffen. "Die Gesamtsicherheit eines Endprodukts, das über einen Chipsatz mit Firmware-Fehlern verfügt, hängt davon ab, inwieweit das Produkt für seine Hauptfunktionen auf einen solchen anfälligen Chipsatz angewiesen ist."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Das Tool, mit dem sich die Exploits ausführen lassen, wollen die Forscher erst Ende Oktober zur Verfügung stellen. Bisher können lediglich Hersteller Zugang erhalten, um die Sicherheitslücken zu erkennen und zu schließen. Einige haben das bereits getan, etwa Espressif Systems, Infineon und Bluetrum. Bei anderen sind Patches nicht absehbar. Das Sicherheitsteam von Texas Instruments habe gesagt, sie würden nur dann einen Patch erstellen, wenn dies von den Kunden verlangt werde. Von wiederum anderen bekamen die Forscher bisher keine Rückmeldung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ttloop 05. Sep 2021 / Themenstart

Die aufgedeckten Lücken sollen und können die Entwickler zukünftiger Bluetooth Geräte ja...

NaruHina 04. Sep 2021 / Themenstart

zumindest JBL boxen können geupdateten werden, die frage ist ob bzw. wann JBL eine...

katze_sonne 04. Sep 2021 / Themenstart

Und falls doch: Oh oh oh, das wird teuer! So teuer, dass das freiwillig...

Allandor 04. Sep 2021 / Themenstart

Naja, wenn sich Code per Angriff Ausführen lässt sollte sich das Gerät ja auch patchen...

Kommentieren



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Roku Streambar: Soundbar mit Streamingfunktionen kostet 150 Euro
    Roku Streambar
    Soundbar mit Streamingfunktionen kostet 150 Euro

    Roku kommt nach Deutschland und bringt parallel zu externen Streaminggeräten auch eine Soundbar, um den Klang des Fernsehers aufzuwerten.

  2. Konkurrenz zu Fire-TV-Sticks: Roku bringt Streaming-Gerät für 30 Euro
    Konkurrenz zu Fire-TV-Sticks
    Roku bringt Streaming-Gerät für 30 Euro

    Die Fire-TV-Sticks von Amazon bekommen Konkurrenz. Roku kommt nach langer Wartezeit mit seinen Streaming-Geräten nach Deutschland.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /