Braktooth-Sicherheitslücken: Millionen Bluetooth-Geräte könnten betroffen sein

Gleich 16 Sicherheitslücken haben Forscher bei verschiedenen Bluetooth-Chipsets entdeckt. Sie sind in Laptops, Lautsprechern und IoT-Geräten verbaut.

Artikel veröffentlicht am , Anna Biselli
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein.
Bluetooth-Lautsprecher sind beliebt, aber viele von ihnen dürften anfällig für die gefundenen Sicherheitslücken sein. (Bild: HolgersFotografie/pixabay.com)

Sicherheitsforscher der Singapore University of Technology and Design haben gleich 16 Sicherheitslücken in kommerziell genutzten Bluetooth-Stack-Implementierungen gefunden, die sie unter dem Namen "Braktooth" zusammenfassen. Diese ermöglichen laut den Forschern teilweile Denial-of-Service-Angriffe, die ein Gerät lahmlegen oder die Bluetooth-Verbindung behindern können. Eine Lücke würde Angreifern sogar ermöglichen, über Remote-Code-Execution Software auf den betroffenen Geräten auszuführen.

Die Forscher untersuchten 13 Bluetooth-Chipsets von 11 verschiedenen Herstellern. Da viele Endgeräte die gleichen Bluetooth-Chips nutzen, gehen sie von mindestens 1.400 betroffenen Produkten aus. Die Chips sind beispielsweise in Laptops, Smartphones, IoT-Geräten oder Lautsprechern verbaut. Insgesamt dürften die Probleme Millionen an Endgeräten betreffen.

Um die Sicherheitslücken auszunutzen, muss sich ein Angreifer lediglich in der Nähe des verwundbaren Gerätes befinden. Und er braucht ein "günstiges ESP32-Entwicklungskit" mit einer bestimmten Firmware sowie einen PC, auf dem ein Tool läuft. Für keine der Lücken müsse man vorher ein Pairing oder eine Authentifizierung durchführen, hieß es.

Patches sind nur teilweise fertig

Nicht jedes Gerät, das einen betroffenen Bluetooth-Chipsatz nutze, sei unsicher, stellten die Forscher klar. Dennoch sei es gegebenenfalls von einer beeinträchtigten Bluetooth-Konnektivität betroffen. "Die Gesamtsicherheit eines Endprodukts, das über einen Chipsatz mit Firmware-Fehlern verfügt, hängt davon ab, inwieweit das Produkt für seine Hauptfunktionen auf einen solchen anfälligen Chipsatz angewiesen ist."

Das Tool, mit dem sich die Exploits ausführen lassen, wollen die Forscher erst Ende Oktober zur Verfügung stellen. Bisher können lediglich Hersteller Zugang erhalten, um die Sicherheitslücken zu erkennen und zu schließen. Einige haben das bereits getan, etwa Espressif Systems, Infineon und Bluetrum. Bei anderen sind Patches nicht absehbar. Das Sicherheitsteam von Texas Instruments habe gesagt, sie würden nur dann einen Patch erstellen, wenn dies von den Kunden verlangt werde. Von wiederum anderen bekamen die Forscher bisher keine Rückmeldung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Apple-Tastatur
Magic Keyboard mit Touch ID jetzt ohne iMac erhältlich
artikel-bild
NAS und Sicherheit
Qnap und Synology von OpenSSL-Lücke betroffen
artikel-bild
Cosmos DB
Tausende Azure-Nutzer von Sicherheitslücke betroffen
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren
artikel-bild
Raumfahrt
Tomaten auf der ISS sehen nach Monaten noch genießbar aus
Kommentarübersicht
Schön. Aber in 99,9999% der Fälle praktisch...
ttloop 05. Sep 2021

Die aufgedeckten Lücken sollen und können die Entwickler zukünftiger Bluetooth Geräte ja...

Re: sind das nicht eigentlich gute Nachrichten?
NaruHina 04. Sep 2021

zumindest JBL boxen können geupdateten werden, die frage ist ob bzw. wann JBL eine...

Re: "nur, wenn das von den Kunden verlangt wird"
katze_sonne 04. Sep 2021

Und falls doch: Oh oh oh, das wird teuer! So teuer, dass das freiwillig...

Re: Wie Patched man das
Allandor 04. Sep 2021

Naja, wenn sich Code per Angriff Ausführen lässt sollte sich das Gerät ja auch patchen...

Aktuell auf der Startseite von Golem.de
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Artikel
  1. Kernfusion: US-Fusionslabor erreicht konsistent Zündungen
    Kernfusion
    US-Fusionslabor erreicht konsistent Zündungen

    Vor einem Jahr gelang der US-Forschungseinrichtung NIF ein wichtiger Fortschritt bei der Kernfusion. Der wurde inzwischen mehrfach wiederholt.

  2. Groups: Google stellt Usenet-Support ein
    Groups
    Google stellt Usenet-Support ein

    Das Usenet wird laut Google von File-Sharing und Spam dominiert. Nach mehr als 20 Jahren ist deshalb Schluss in Google Groups.

  3. Energiewende: Deutsche Stromnetze im Dornröschenschlaf
    Energiewende
    Deutsche Stromnetze im Dornröschenschlaf

    IT ist der Game Changer der Energiewende - nur nicht in Deutschland.
    Eine Analyse von Gerd Mischler

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /